记一次地铁站的沦陷

admin 2023年4月12日16:25:25评论48 views字数 1175阅读3分55秒阅读模式

声明:本文所提到的所有问题均为虚构,环境也是自己搭的,使用的措辞轻浮、内容浅显、操作生疏,不足之处欢迎师傅们指点和纠正,感激不尽


前情提要

某十一前夕回家,发现家门口的地铁站修整施工一年多了,偷偷溜进去视察一下施工情况,已经进入调试阶段了,发现总控室的桌子上放着一份VPN使用说明,最后竟然附了一张连接的账号密码名单,好玩儿的这不就来了^_^(并没有)

内网探测分析

进入该地铁站内网后,先简单进行内网探测,直接发现有多个开放102端口的设备(当时没截图,这次探测一个看一下吧),既然是地铁站,猜测该端口通常为运行S7comm/S7comm+协议的PLC所开放的通信端口

记一次地铁站的沦陷


既然端口都探测到了,不试一试怎么行,在不知道是否存在防火墙的情况下先浅浅尝试一些低危操作,进一步探测发现,设备都为西门子S7-300 PLC,其所使用的S7comm协议具有严重漏洞,所有的流量都为明文传输


记一次地铁站的沦陷


PLC流量分析

经过追踪,发现其中一个PLC的上级交换机,且该交换机为网管交换机

记一次地铁站的沦陷

登录口:

记一次地铁站的沦陷

随手一个弱账号密码 admin/admin 即可登录该网管交换机


记一次地铁站的沦陷


登录进入该交换机后,发现连接有多个PLC,并且有流量镜像的功能,于是将PLC的流量都镜像出来


记一次地铁站的沦陷



分析对应功能

经过几周陆陆续续的抓包分析,发现有上位机与PLC通讯,且偶有一些写入PLC内存地址的操作,使用布尔值作为功能的开关变量,猜想可能为控制的某些功能

记一次地铁站的沦陷


记一次地铁站的沦陷


根据掌握的PLC读写内存地址与值,构造攻击脚本并实地测试不同内存地址所控制的具体功能点


记一次地铁站的沦陷


发起总攻

设计一套非常可怕的破坏流程,实现站内信号灯变绿、列车发生事故后变成跑马灯,安全门在列车进站时打开、在列车发生事故后关闭禁止救援人员直接进入,列车出站时改变道岔使列车当场脱轨,然后控制按下紧急停止按钮


记一次地铁站的沦陷



攻击结果附图

记一次地铁站的沦陷


记一次地铁站的沦陷



总结

该地铁站暂未安装安全防护设备,且由于西门子S7-300 PLC使用的S7comm协议通信为明文传输,因此将其作为控制单元极具安全隐患,考虑到控制单元一般不宜更换,建议该地铁站将生产区使用防火墙进行隔离保护


以上研究分析与渗透均在合法、授权范围内,此次渗透未造成任何事故发生



记一次地铁站的沦陷

关注公众号后台回复 0001 领取域渗透思维导图,0002 领取VMware 17永久激活码,0003 获取SGK地址,0004 获取在线ChatGPT地址,0005 获取 Windows10渗透集成环境


加我微信好友,邀请你进交流群


记一次地铁站的沦陷




往期推荐



微信泄漏手机号事件

利用SourceMap还原前端代码

国内知名黑客论坛t00ls遭遇15亿次CC攻击

最新内网横向移动工具发布 - Wmiexec-Pro

从星链到ChatPGT,为什么我们总在误判美国科技与经济的发展?

对某金融App的加解密hook+rpc+绕过SSLPinning抓包

Fofa新产品 - 绕CDN溯源真实IP!


原文始发于微信公众号(刨洞技术交流):记一次地铁站的沦陷

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月12日16:25:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次地铁站的沦陷http://cn-sec.com/archives/1668866.html

发表评论

匿名网友 填写信息