标签 IOT 下的文章
各类工具使用

smod的使用

https://github.com/qq1209759648/smod-1

#smod smod是一个模块化框架,具有渗透到modbus协议所需的各种诊断和攻击功能。它是使用Python和Scapy的完整Modbus协议实现。该软件可以在python 2.7.x下的Linux / OSX上运行。

随时提出请求,如果您觉得我们可以做得更好。

近年来,基于SCADA(过程控制网络)的系统已从专有的封闭式网络逐渐转移到开源解决方案和支持TCP / IP的网络。这使他们容易遭受传统计算机网络面临的相同安全漏洞。

Modbus / TCP协议用作参考协议,以显示测试台对电力系统协议进行网络攻击的有效性。选择Modbus / TCP是出于以下原因:

  • Modbus仍广泛用于电力系统。

  • modbus / TCP简单易实现。

  • 实用程序可以免费使用modbus协议库,以实现智能电网应用程序。

您可以使用此工具对Modbus协议进行漏洞评估。

## Demo只是一个演示基本内容的演示

root@kali:~/smod# python smod.py 
 _______ < SMOD >
 ------- 
        \   ^__^
         \  (xx)\_______
            (__)\       )\/\
             U  ||----w |
                ||     ||
          --=[MODBUS Penetration Test FrameWork
       --+--=[Version : 1.0.2
       --+--=[Modules : 14
       --+--=[Coder   : Farzin Enddo
          --=[github  : www.github.com/enddoSMOD >help
 Command  Description                                      
 -------  -----------                                      
 back     Move back from the current context               
 exit     Exit the console                                 
 exploit  Run module                                       
 help     Help menu                                        
 show     Displays modules of a given type, or all modules 
 set      Sets a variable to a value                       
 use      Selects a module by name                         SMOD >show modules
 Modules                              Description                             
 -------                              -----------
 modbus/dos/galilRIO                  DOS Galil RIO-47100 
 modbus/dos/writeSingleCoils          DOS With Write Single Coil Function     
 modbus/dos/writeSingleRegister       DOS Write Single Register Function      
 modbus/function/readCoils            Fuzzing Read Coils Function             
 modbus/function/readDiscreteInput    Fuzzing Read Discrete Inputs Function   
 modbus/function/readExceptionStatus  Fuzzing Read Exception Status Function  
 modbus/function/readHoldingRegister  Fuzzing Read Holding Registers Function 
 modbus/function/readInputRegister    Fuzzing Read Input Registers Function   
 modbus/function/writeSingleCoils     Fuzzing Write Single Coil Function      
 modbus/function/writeSingleRegister  Fuzzing Write Single Register Function  
 modbus/scanner/discover              Check Modbus Protocols                  
 modbus/scanner/getfunc               Enumeration Function on Modbus          
 modbus/scanner/uid                   Brute Force UID      
 modbus/sniff/arp                     Arp PoisoningSMOD >

蛮力Modbus UID

SMOD >use modbus/scanner/uidSMOD modbus(uid) >show options
 Name      Current Setting  Required  Description                                 
 ----      ---------------  --------  -----------                                 
 Function  1                False     Function code, Defualt:Read Coils.          
 Output    True             False     The stdout save in output directory         
 RHOSTS                     True      The target address range or CIDR identifier 
 RPORT     502              False     The port number for modbus protocol         
 Threads   1                False     The number of concurrent threads            SMOD modbus(uid) >set RHOSTS 192.168.1.6SMOD modbus(uid) >exploit [+] Module Brute Force UID Start[+] Start Brute Force UID on : 192.168.1.6[+] UID on 192.168.1.6 is : 10SMOD modbus(uid) >

Modbus的枚举功能

SMOD >use modbus/scanner/getfuncSMOD modbus(getfunc) >show options
 Name     Current Setting  Required  Description                                 
 ----     ---------------  --------  -----------                                 
 Output   True             False     The stdout save in output directory         
 RHOSTS                    True      The target address range or CIDR identifier 
 RPORT    502              False     The port number for modbus protocol         
 Threads  1                False     The number of concurrent threads            
 UID      None             True      Modbus Slave UID.                           SMOD modbus(getfunc) >set RHOSTS 192.168.1.6SMOD modbus(getfunc) >set UID 10SMOD modbus(getfunc) >exploit [+] Module Get Function Start[+] Looking for supported function codes on 192.168.1.6[+] Function Code 1(Read Coils) is supported.[+] Function Code 2(Read Discrete Inputs) is supported.[+] Function Code 3(Read Multiple Holding Registers) is supported.[+] Function Code 4(Read Input Registers) is supported.[+] Function Code 5(Write Single Coil) is supported.[+] Function Code 6(Write Single Holding Register) is supported.[+] Function Code 7(Read Exception Status) is supported.[+] Function Code 8(Diagnostic) is supported.[+] Function Code 15(Write Multiple Coils) is supported.[+] Function Code 16(Write Multiple Holding Registers) is supported.[+] Function Code 17(Report Slave ID) is supported.[+] Function Code 20(Read File Record) is supported.[+] Function Code 21(Write File Record) is supported.[+] Function Code 22(Mask Write Register) is supported.[+] Function Code 23(Read/Write Multiple Registers) is supported.SMOD modbus(getfunc) >

模糊读取线圈功能

SMOD >use modbus/function/readCoilsSMOD modbus(readCoils) >show options
 Name       Current Setting  Required  Description                                 
 ----       ---------------  --------  -----------                                 
 Output     True             False     The stdout save in output directory         
 Quantity   0x0001           True      Registers Values.                           
 RHOSTS                      True      The target address range or CIDR identifier 
 RPORT      502              False     The port number for modbus protocol         
 StartAddr  0x0000           True      Start Address.                              
 Threads    1                False     The number of concurrent threads            
 UID        None             True      Modbus Slave UID.                           SMOD modbus(readCoils) >set RHOSTS 192.168.1.6SMOD modbus(readCoils) >set UID 10SMOD modbus(readCoils) >exploit [+] Module Read Coils Function Start[+] Connecting to 192.168.1.6[+] Response is :###[ ModbusADU ]###
  transId   = 0x2
  protoId   = 0x0
  len       = 0x4
  unitId    = 0xa###[ Read Coils Answer ]###
     funcCode  = 0x1
     byteCount = 1L
     coilStatus= [0]SMOD modbus(readCoils) >


阅读全文
2019-12-16 0 条评论 317 次浏览
工控设备安全

IOT危险协议漏洞记录

1.Modus协议port:502

    a.直接进行读写,函数库:pymodnis和rmodbus,渗透人员客户端:modbus-cli

    cmd:modbus read IP %M100 5  #读前五个线圈和寄存器的状态

    仿真器模拟

    b.中间人攻击

        tools:Modbus VCR、Ettercap。#记录modbus协议流量并进行重放

   c.Schneider种终止CPU攻击

    msf模块搜索modicon_command


2.EtherNet/IP 协议 port:44818/2222

   a.信息收集

   b.身份鉴别请求攻击

   c.中间人攻击,example

   d.终止CPU攻击

        msf模块:multi_cip_command   #终止CPU、以太网卡崩溃等


3.DNP3协议(分布式网络协议)port:20000,控制中心为SCADA的主站

   a.模糊测试攻击:Achilles测试平台,模糊测试工具Peach Fuzzer,模糊测试框架

   b.协议鉴别攻击:dnp3-info.nse


4.Siemens S7通信协议

    a.终止CPU运行攻击 s7 300/400/1200  exp1, exp2

    b.协议鉴别攻击   tools:Plcscan/S7-info.nse, Conpot集成蜜罐测试!!

    c.口令暴力破解攻击   s7_1200_brute_offline.py


 nmap script:

    信息收集脚本:

        modicon-info.nse(通过功能码43、90与设备进行通信modbus) 

        ethernetip.py(Ethernet脚本)

        dnp3-info.nse(DNP3脚本信息探测脚本)

        S7-info.nse(西门子S7信息探测脚本)

image.png

image.png

阅读全文
2019-12-09 0 条评论 176 次浏览
ICS必备资源及工具

IOT(ICS)渗透测试工具包

https://github.com/hslatman/awesome-industrial-control-system-security  

http://www.secwk.com/2019/09/05/2773/

必备工具:

smod:Modbus渗透测试框架

         Protos ->protos -d 121.33.237.163 -v -i eth0  探测可能的协议 以此判断iot设备版本等。

plcscan( https://github.com/yanlinlin82/plcscan ):扫描PLC的Python脚本(西门子、modbus扫描)

NMAP s( https://nmap.org/book/man-nse.html ):扫描PLC的nmap脚本

mbtget( https://github.com/sourceperl/mbtget ):读取PLC的Perl脚本

plcinject( https://github.com/SCADACS/PLCinject ):向PLC注入代码的工具

SCADA关机工具SCADAShutdownTool是一种工业控制系统自动化和测试工具,可让安全研究人员和专家测试SCADA安全系统,枚举从属控制器,读取控制器的寄存器值并重写寄存器数据。
sixnet工具利用Sixnet RTU的工具。这个简单的命令行界面允许使用未公开的功能代码来获得root访问权限,并控制某些Sixnet系列工业控制设备上的基础Linux OS。
SCADAPASS著名的SCADA StrangeLove默认/硬编码密码列表。


阅读全文
2019-12-06 0 条评论 194 次浏览
工控设备安全

工控设备协议常用端口及协议

标准协议常用端口

协议端口
Siemens S7/ICCP102
Modbus TCP502
IEC 60870-5-1042404
DNP3TCP/UDP 20000
EtherNet/IPTCP 44818/UDP 2222/UDP 44818
CodeSYs2455

BACnetUDP 47808
FL-netUDP 55000 to 55003
EtherCATUDP 34980
Foundation Fieldbus HSETCP/1089 to 1091, UDP/1089 to 1091

OPC UA BinaryVendor Application Specific
OPC UA Discovery ServerTCP/4840
OPC UA XMLTCP/80, TCP/443
PROFINETTCP/34962 to 34964, UDP/34962 to 34964
ROC PLusTCP/UDP 4000

供应商特定端口


供应商产品或协议端口
ABBRanger 2003游侠2003TCP/10307, TCP/10311, TCP/10364 to 10365, TCP/10407, TCP/10409 to 10410, TCP/10412, TCP/10414 to 10415, TCP/10428, TCP/10431 to 10432, TCP/10447, TCP/10449 to 10450, TCP/12316, TCP/12645, TCP/12647 to 12648, TCP/13722, TCP/13724, TCP/13782 to 13783, TCP/38589, TCP/38593, TCP/38600, TCP/38971, TCP/39129, TCP/39278
Emerson / FisherROC PlusTCP/UDP/4000
Foxboro/InvensysFoxboro DCS FoxApiTCP/UDP/55555
Foxboro/InvensysFoxboro DCS AIMAPITCP/UDP/45678
Foxboro/InvensysFoxboro DCS InformixTCP/UDP/1541
IconicsGenesis32 GenBroker (TCP)TCP/18000
Johnson ControlsMetasys N1TCP/UDP/11001
Johnson ControlsMetasys BACNetUDP/47808
OSIsoftPI ServerTCP/5450
SiemensSpectrum Power TGTCP/50001 to 50016, TCP/50018 to 50020, UDP/50020 to 50021, TCP/50025 to 50028, TCP/50110 to 50111
SNCGENeTCP/38000 to 38001, TCP/38011 to 38012, TCP/38014 to 38015, TCP/38200, TCP/38210, TCP/38301, TCP/38400, TCP/38700, TCP/62900, TCP/62911, TCP/62924, TCP/62930, TCP/62938, TCP/62956 to 62957, TCP/62963, TCP/62981 to 62982, TCP/62985, TCP/62992, TCP/63012, TCP/63027 to 63036, TCP/63041, TCP/63075, TCP/63079, TCP/63082, TCP/63088, TCP/63094, TCP/65443
TelventOASyS DNAUDP/5050 to 5051, TCP/5052, TCP/5065, TCP/12135 to 12137, TCP/56001 to 56099

所有端口按顺序排号:

协议港口
TCP / 502Modbus TCP
TCP / UDP / 1089基金会现场总线HSE
TCP / UDP / 1090基金会现场总线HSE
TCP / UDP / 1091基金会现场总线HSE
TCP / UDP / 1541Foxboro /英维思Foxboro DCS Informix
UDP / 2222以太网/ IP
TCP / 3480OPC UA发现服务器
TCP / UDP / 4000艾默生/ Fisher ROC Plus
UDP / 5050至5051Telvent OASyS DNA
TCP / 5052Telvent OASyS DNA
TCP / 5065Telvent OASyS DNA
TCP / 5450OSIsoft PI Server
TCP / 10307ABB游侠2003
TCP / 10311ABB游侠2003
TCP / 10364至10365ABB游侠2003
TCP / 10407ABB游侠2003
TCP / 10409至10410ABB游侠2003
TCP / 10412ABB游侠2003
TCP / 10414至10415ABB游侠2003
TCP / 10428ABB游侠2003
TCP / 10431至10432ABB游侠2003
TCP / 10447ABB游侠2003
TCP / 10449至10450ABB游侠2003
TCP / 12316ABB游侠2003
TCP / 12645ABB游侠2003
TCP / 12647至12648ABB游侠2003
TCP / 13722ABB游侠2003
TCP / UDP / 11001江森自控Metasys N1
TCP / 12135至12137Telvent OASyS DNA
TCP / 13724ABB游侠2003
TCP / 13782至13783ABB游侠2003
TCP / 18000标志性Genesis32 GenBroker(TCP)
TCP / UDP / 20000DNP3
TCP / UDP / 34962PROFINET
TCP / UDP / 34963PROFINET
TCP / UDP / 34964PROFINET
UDP / 34980以太网猫
TCP / 38589ABB游侠2003
TCP / 38593ABB游侠2003
TCP / 38000至38001SNC GENE
TCP / 38011至38012SNC GENE
TCP / 38014至38015SNC GENE
TCP / 38200SNC GENE
TCP / 38210SNC GENE
TCP / 38301SNC GENE
TCP / 38400SNC GENE
TCP / 38600ABB游侠2003
TCP / 38700SNC GENE
TCP / 38971ABB游侠2003
TCP / 39129ABB游侠2003
TCP / 39278ABB游侠2003
TCP / UDP / 44818以太网/ IP
TCP / UDP / 45678Foxboro /英维思Foxboro DCS AIMAPI
UDP / 47808BACnet / IP
TCP / 50001至50016西门子频谱电力TG
TCP / 50018至50020西门子频谱电力TG
UDP / 50020至50021西门子频谱电力TG
TCP / 50025至50028西门子频谱电力TG
TCP / 50110至50111西门子频谱电力TG
UDP / 55000至55002FL网接收
UDP / 55003FL网传输
TCP / UDP / 55555Foxboor /英维思Foxboro DCS FoxAPI
TCP / 56001至56099Telvent OASyS DNA
TCP / 62900SNC GENE
TCP / 62911SNC GENE
TCP / 62924SNC GENE
TCP / 62930SNC GENE
TCP / 62938SNC GENE
TCP / 62956至62957SNC GENE
TCP / 62963SNC GENE
TCP / 62981至62982SNC GENE
TCP / 62985SNC GENE
TCP / 62992SNC GENE
TCP / 63012SNC GENE
TCP / 63027至63036SNC GENE
TCP / 63041SNC GENE
TCP / 63075SNC GENE
TCP / 63079SNC GENE
TCP / 63082SNC GENE
TCP / 63088SNC GENE
TCP / 63094SNC GENE
TCP / 65443SNC GENE



http://www.elecfans.com/d/842603.html

https://blog.csdn.net/fragmentalice/article/details/41079413

阅读全文
2019-12-06 0 条评论 196 次浏览
ICS必备资源及工具

工业控制系统(ICS)安全专家必备的测试工具和安全资源

工业控制系统(ICS)安全专家必备的测试工具和安全资源

工业控制系统(ICS)通常被安全行业用来测试网络和应用中的漏洞。在这里,您可以找到综合工业控制系统(ICS)工具列表,其中包括在所有企业环境中执行渗透测试操作。

工业管理系统(ICS / SCADA)现在是网络攻击者的主要目标,这些攻击者试图破坏生产基地和公共设施

工业控制系统(ICS)工具

CSET网络安全评估工具(CSET®)协助组织保护其关键的国家网络资产。这个工具为用户提供了一个系统的和可重复的方法来评估他们的网络系统和网络的安全状况。它包括与所有工业控制和IT系统相关的高级和详细问题。
Digital Bond’s 3S CoDeSys ToolsDigital Bond创建了三个与运行CoDeSys的PLC进行交互的工具,包括命令外壳,文件传输和NMap脚本。
Digital Bond’s ICS Enumeration ToolsRedpoint是一个数字债券研究项目,用于使用nmap扩展来枚举ICS应用程序和设备。它可以在评估期间用于发现ICS设备并提取有助于二次测试的信息。Redpoint工具使用合法的协议或应用程序命令来发现和枚举设备和应用程序。没有任何努力来利用或崩溃任何东西,但要明智和谨慎。
GRASSMARLINGRASSMARLIN为工业控制系统(ICS)和监控和数据采集(SCADA)网络提供IP网络环境意识,以支持网络安全。被动地映射并直观显示ICS / SCADA网络拓扑结构,同时安全地对这些关键的网络物理系统进行设备发现,记帐和报告。
mbtgetmbtget – 简单的perl脚本,用于从命令行创建一些modbus事务。
MiniCPSMiniCPS:新加坡科技与设计大学(SUTD)网络物理系统安全研究工具包。
MODBUS Penetration Testing Frameworksmod是一种模块化的框架,可以用来测试modbus协议所需的各种诊断和攻击功能。这是一个使用Python和Scapy的完整的Modbus协议实现。该框架可用于执行漏洞评估。
ModbusPalModbusPal是MODBUS从站模拟器。其目的是提供一个易于使用的界面,并具有复制和实际复制MODBUS环境的功能。
ModScanModScan是一种新工具,用于映射基于SCADA MODBUS TCP的网络。
NetToPLCSim用于PLC仿真软件Siemens PLCSim的TCP / IP网络扩展。
Opendnp3Opendnp3是Apache许可证下提供的IEEE-1815(DNP3)的实际参考实现。
PLCinjectPLCinject可用于将代码注入到PLC中。
plcscan通过s7comm或modbus协议扫描PLC设备的工具。
Quickdraw IDSDigital Bond的Quickdraw IDS项目包括用于SCADA设备的Snort规则和用于网络通信的所谓预处理器。预处理器提供了显着的附加价值,因为它们能够重建Snort使用的协议和状态。
SCADAShutdownToolSCADAShutdownTool是一个工业控制系统自动化和测试工具,允许安全研究人员和专家测试SCADA安全系统,枚举从属控制器,读取控制器的寄存器值并重写寄存器数据。
Snap7Snap7是一款开源的32/64位多平台以太网通信套件,用于与西门子S7 PLC进行本地连接。新款CPU 1200/1500,旧款S7200,小型LOGO 0BA7 / 0BA8和SINAMICS Drives也得到部分支持。
S7 Password Bruteforcer使用字典强制从PCAP使用的S7实例密码的工具, 由SCADAStrangelove创建。
sploneboxsplonebox是一款专注于模块化的开源网络评估工具。它提供了对网络及其设备的持续分析。一个主要的设计决策是定制插件的开发,包括用于工业通信协议的插件。
WiresharkWireshark是世界上最重要的网络协议分析器。它可以让你从微观层面看到网络上发生的事情。这是许多行业和教育机构的事实(并且通常是法律上的)标准。它支持ICS中使用的许多协议。

发行套件

Moki LinuxMoki是Kali的一项修改,将各种ICS / SCADA工具集成到互联网上,创建一个针对ICS / SCADA专业测试人员的定制Kali Linux。
SamuraiSTFUSamuraiSTFU为传统网络和网络渗透测试提供了最佳的安全工具,为嵌入式和射频测试增加了专用工具,在健康的能源行业背景下,文档和样本文件混合在一起,其中包括SCADA、智能仪表和其他类型的能源部门系统提供完整的测试实验室。

蜜罐

ConpotConpot是一款低交互式服务器端的工业控制系统蜜罐,其设计易于部署,修改和扩展。它具有易于定制和行为模拟等特点,并且可以通过真实的HMI进行扩展。在Honeynet项目下构建和维护。
GasPotGasPot是设计用来模拟Veeder Root Gaurdian AST的蜜罐。这些油罐压力表在石油和天然气工业中常见于加油站油罐,以帮助储存燃料。GasPot被设计为尽可能随机化,所以没有两个实例看起来完全一样。
T-PotT-Pot是在码头集装箱中运行的几个蜜罐的组合。Suricata和ELK堆栈用于安全监控和可视化。其中包括Conpot和eMobility,它们是ICS和下一代传输基础设施蜜罐。

数据

4SICS ICS Lab PCAPS4SICS的“Geek Lounge”是一个包含PLC、RTU、服务器、工业网络设备(交换机,防火墙等)的ICS实验室。这些设备可用于4SICS物理参与者进行“测试”,并从这些设备中获取流量。
DEF CON 23 ICS Village PCAPS来自第23届DEF CON的PCAPS。
ICS Map从Shodan收集的数据创建的地图显示ICS设备。数据可用于进一步分析。
ICS RadarShodan从几种ICS协议收集的数据在地球仪上可视化。
S4x15 ICS Village在比赛中使用的S4x15 CTF的PCAPS。
S7 PCAP samplesWireshark S7协议解析器插件的示例文件。
SCADAPASS着名的SCADA StrangeLove默认/硬编码密码列表。
TRISIS/TRITON/HATMAN malware repository存储库包含针对Triconex安全仪表系统(SIS)控制器的TRISIS / TRITON / HATMAN恶意软件的原始和反编译文件。

订阅和新闻

ICS-CERT AlertsICS-CERT Alert提要旨在及时通知关键基础设施所有者和运营商有关可能影响关键基础设施计算网络的威胁或活动。
ICS-CERT RSS Feed美国ICS-CERT的RSS源列出了新闻和最新发布的漏洞建议。
Industrial Security Alerts西门子通过此页面和RSS提要为其工业系统提供警报。
North American Electric Reliability Corporation (NERC) AlertsNERC为大型电气系统(BES)安全建议和行业建议提供警报。
ABB Cybersecurity Alerts and NotificationsABB为其网络安全事件和软件漏洞提供警报。
Schneider Electric Cybersecurity Alerts and Notifications从施耐德电气软件获取网络安全和合规性的最新更新和警报。

会议和会议资料

CS3STHLM斯德哥尔摩SCADA和工业控制系统网络安全国际峰会 – 是一次年度峰会,聚集关键流程和行业中最重要的利益相关方。CS3STHLM自2014年起组织起来,并迅速成为北欧首屈一指的ICS安全峰会。
CS4CA关键资产网络安全是一个全球系列峰会,重点关注关键基础设施的网络安全。
SANS ICS Summit Archives全球举办的SANS ICS峰会演讲材料的中央存储库。
SANS ICS Cybersecurity Conference (WeissCon)这个会议在创始人Joe Weiss之后被称为WeissCon,现在由SecurityWeek拥有并运营,并且通常每年10月在美国不同地点运营。

相关文献

Library of Resources for Industrial Control System Cyber SecuritySCADAhacker.com的ICS / SCADA网络安全资源的最终列表。
Applied Cyber Security and the Smart Grid应用网络安全与智能电网:Eric D. Knapp和Raj Samani在现代电力基础设施中实施安全控制。
A Collection of Resources for Getting Started in ICS/SCADA CybersecurityRobert M. Lee对ICS和SCADA安全方面的一些优秀资源的想法。
Hacker Machine Interface – The State of SCADA HMI Vulnerabilities来自趋势科技零日行动团队的TrendLabs研究报告介绍SCADA和HMI安全的当前状态。
Handbook of SCADA/Control Systems Security本综合手册涵盖了基本的安全概念,方法以及与全球公用事业和工业设施中使用的监控和数据采集(SCADA)和其他工业控制系统有关的信息。
SCADA Cybersecurity Framework描述什么是SCADA网络安全框架应包含的文件。
Industrial Network Security, Second Edition工业网络安全第二版:保护智能电网,SCADA和其他工业控制系统的关键基础设施网络,Eric D. Knapp和Joel Thomas Langill。
Power System SCADA and Smart Grids本书汇集了电力系统监控和数据采集(SCADA)的基本原理和可能的应用功能。不是面向安全的,面向电力系统的,而是SCADA的一个很好的入门书。
NIST SP 800-82, Revision 2工业控制系统(ICS)安全指南由NIST提供。
The Industrial Control System Cyber Kill Chain这份SANS论文描述了ICS Cyber Kill Chain。它将洛克希德·马丁公司的杀伤链调整成典型的、针对集成电路系统的两个阶段攻击。
An Abbreviated History of Automation, Industrial Control Systems, and Cybersecurity这份SANS论文着眼于ICS网络安全的背景,非常值得阅读,以确保您了解过去二十年来发生的许多事件,以及他们如何激励今天ICS的安全性。
Control Engineering – Networking and Security – CyberSecurityControl Engineering杂志的网络安全新闻和文献。

介绍ICS、SCADA和PLC

PLC Training OrgSite组织了所有与SCADA系统相关的重要主题。安全与10个学习阶段密切相关,但这对于刚开始学习的人来说是一篇很棒的安全性文章。
Control System BasicsYouTube视频解释控制系统的基础知识,包括这些系统用于感知和创建物理变化以采取行动的逻辑类型。
SCADA Systems – Utility 101 Session with Rusty Wiliiams公用事业行业专业人士Rusty Williams从电力公用事业角度解释SCADA。
Control System Lectures布赖恩道格拉斯YouTube视频系列,他以一种非常容易处理的方式涵盖了广泛的控制系统主题。
The PLC ProfessorPLC教授和他的网站plcprofessor.com包含了很多用于学习可编程逻辑控制器(PLC)和其他类型的控制系统及其逻辑是什么以及如何工作的很好的资源。
Serial Communications RS232 and RS485Real Time Automation的John Rinaldi介绍了串行通信RS232和RS485。
All You Need To Know About MODBUS-RTUReal Time Automation的John Rinaldi介绍了MODBUS-RTU。
MODBUS Data StructuresReal Time Automation的John Rinaldi描述了MODBUS数据结构。
All You Need to Know About MODBUS-TCPReal Time Automation的John Rinaldi介绍了MODBUS-TCP。
How Ethernet TCP/IP is Used by Industrial ProtocolsReal Time Automation的John Rinaldi介绍了以太网TCP / IP。

 下面是部分软件用法及运行截图:

1、CSET 8.1

cset3.jpg官方在Youtube提供了一些使用视频,视频地址

cset2.jpg2、Digital Bond’s ICS Enumeration Tools 

该脚本是基于Nmap下的脚本,下载后,您需要将其移至NSE Scripts目录中

BACnet-discover-enumerate.nse - 识别和枚举BACnet设备

codesys-v2-discover.nse - 识别并列举CoDeSys V2控制器

enip-enumerate.nse - 识别并列举来自罗克韦尔自动化和其他供应商的EtherNet / IP设备

fox-info.nse - 识别并列举Niagara Fox设备

modicon-info.nse - 识别并列举Schneider Electric Modicon PLC

omron-info.nse - 识别并列举欧姆龙PLC

pcworx-info.nse - 识别并枚举支持PC Worx协议的PLC

proconos-info.nse - 识别并列举支持ProConOS的PLC

s7-enumerate.nse - 识别并列举西门子SIMATIC S7 PLC等。。

详细的使用安装请点击

3、mbtget

Modbus是一种标准的串行通信协议,用于连接工业PLC(以及其他许多事物)。通过该模块,您可以通过MBclient对象访问此协议的TCP和RTU版本。可以看看http://en.wikipedia.org/wiki/Modbus了解详情。

安装:

git clone https://github.com/sourceperl/mbtget.gitcd mbtget
perl Makefile.PL
make
sudo make install

用法:

工业控制系统(ICS)安全专家必备的测试工具和安全资源

读取modbus服务器127.0.0.1上的地址1000处的字数据

root@kali:~# mbtget -a 1000 127.0.0.1values:1 (ad 01000): 52544

在modbus服务器plc-1.domaine.net的地址1000处读取10个字的数据

root@kali:~# mbtget -n 10 -a 1000 plc-1.domaine.netvalues:1 (ad 01000): 525442 (ad 01001): 336193 (ad 01002): 610104 (ad 01003): 118785 (ad 01004): 601426 (ad 01005): 217147 (ad 01006): 141828 (ad 01007): 643429 (ad 01008): 1851110 (ad 01009): 59909

在modbus服务器127.0.0.1上的地址1000处写入一个字值333,并启用转储模式

root@kali:~# mbtget -w6 333 -a 1000 -d 127.0.0.1Tx
[10 01 00 00 00 06 01] 06 03 E8 01 4D
Rx
[10 01 00 00 00 06 01] 06 03 E8 01 4D

word write ok

4、MODBUS Penetration Testing Framework 

MODBUS渗透测试框架,smod是一个模块化框架,可以用来测试modbus协议所需的各种诊断和攻击功能。这是一个使用Python和Scapy的完整的Modbus协议实现。这个软件可以在python 2.7.x下的Linux / OSX上运行。

近年来,Summery SCADA(过程控制网络)系统已经从专有封闭网络转向开源解决方案和支持TCP / IP的网络。这使他们容易受到我们传统计算机网络面临的相同安全漏洞的影响。Modbus / TCP协议被用作参考协议来显示测试台在对电力系统协议执行网络攻击时的有效性。

#一个展示基础知识的小演示

root@kali:~/smod# python smod.py 
 _______ 
< SMOD >
 ------- 
        \   ^__^
         \  (xx)\_______
            (__)\       )\/\
             U  ||----w |
                ||     ||
          --=[MODBUS Penetration Test FrameWork
       --+--=[Version : 1.0.4
       --+--=[Modules : 23
       --+--=[Coder   : Farzin Enddo
          --=[github  : www.github.com/enddo

SMOD >help
 Command  Description                                      
 -------  -----------                                      
 back     Move back from the current context               
 exit     Exit the console                                 
 exploit  Run module                                       
 help     Help menu                                        
 show     Displays modules of a given type, or all modules 
 set      Sets a variable to a value                       
 use      Selects a module by name                         
SMOD >show modules
 Modules                                       Description                                       
 -------                                       -----------                                       
 modbus/dos/arp                                DOS with Arp Poisoning                            
 modbus/dos/galilRIO                           DOS Galil RIO-47100
 modbus/dos/writeAllCoils                      DOS With Write All Coils                          
 modbus/dos/writeAllRegister                   DOS With Write All Register Function 
 modbus/dos/writeSingleCoils                   DOS With Write Single Coil Function               
 modbus/dos/writeSingleRegister                DOS Write Single Register Function                
 modbus/function/fuzzing                       Fuzzing Modbus Functions                          
 modbus/function/readCoils                     Fuzzing Read Coils Function                       
 modbus/function/readCoilsException            Fuzzing Read Coils Exception Function             
 modbus/function/readDiscreteInput             Fuzzing Read Discrete Inputs Function             
 modbus/function/readDiscreteInputException    Fuzzing Read Discrete Inputs Exception Function   
 modbus/function/readExceptionStatus           Fuzzing Read Exception Status Function            
 modbus/function/readHoldingRegister           Fuzzing Read Holding Registers Function           
 modbus/function/readHoldingRegisterException  Fuzzing Read Holding Registers Exception Function 
 modbus/function/readInputRegister             Fuzzing Read Input Registers Function             
 modbus/function/readInputRegisterException    Fuzzing Read Input Registers Exception Function   
 modbus/function/writeSingleCoils              Fuzzing Write Single Coil Function                
 modbus/function/writeSingleRegister           Fuzzing Write Single Register Function            
 modbus/scanner/arpWatcher                     ARP Watcher                                       
 modbus/scanner/discover                       Check Modbus Protocols                            
 modbus/scanner/getfunc                        Enumeration Function on Modbus                    
 modbus/scanner/uid                            Brute Force UID                                   
 modbus/sniff/arp                              Arp Poisoning   
SMOD >

蛮力Modbus UID

SMOD >use modbus/scanner/uid
SMOD modbus(uid) >show options
 Name      Current Setting  Required  Description                                 
 ----      ---------------  --------  -----------                                 
 Function  1                False     Function code, Defualt:Read Coils.          
 Output    True             False     The stdout save in output directory         
 RHOSTS                     True      The target address range or CIDR identifier 
 RPORT     502              False     The port number for modbus protocol         
 Threads   1                False     The number of concurrent threads            
SMOD modbus(uid) >set RHOSTS 192.168.1.6SMOD modbus(uid) >exploit 
[+] Module Brute Force UID Start
[+] Start Brute Force UID on : 192.168.1.6[+] UID on 192.168.1.6 is : 10SMOD modbus(uid) >

在Modbus上的枚举功能

SMOD >use modbus/scanner/getfunc
SMOD modbus(getfunc) >show options
 Name     Current Setting  Required  Description                                 
 ----     ---------------  --------  -----------                                 
 Output   True             False     The stdout save in output directory         
 RHOSTS                    True      The target address range or CIDR identifier 
 RPORT    502              False     The port number for modbus protocol         
 Threads  1                False     The number of concurrent threads            
 UID      None             True      Modbus Slave UID.                           
SMOD modbus(getfunc) >set RHOSTS 192.168.1.6SMOD modbus(getfunc) >set UID 10SMOD modbus(getfunc) >exploit 
[+] Module Get Function Start
[+] Looking for supported function codes on 192.168.1.6[+] Function Code 1(Read Coils) is supported.
[+] Function Code 2(Read Discrete Inputs) is supported.
[+] Function Code 3(Read Multiple Holding Registers) is supported.
[+] Function Code 4(Read Input Registers) is supported.
[+] Function Code 5(Write Single Coil) is supported.
[+] Function Code 6(Write Single Holding Register) is supported.
[+] Function Code 7(Read Exception Status) is supported.
[+] Function Code 8(Diagnostic) is supported.
[+] Function Code 15(Write Multiple Coils) is supported.
[+] Function Code 16(Write Multiple Holding Registers) is supported.
[+] Function Code 17(Report Slave ID) is supported.
[+] Function Code 20(Read File Record) is supported.
[+] Function Code 21(Write File Record) is supported.
[+] Function Code 22(Mask Write Register) is supported.
[+] Function Code 23(Read/Write Multiple Registers) is supported.
SMOD modbus(getfunc) >

模糊读取线圈功能

SMOD >use modbus/function/readCoils
SMOD modbus(readCoils) >show options
 Name       Current Setting  Required  Description                                 
 ----       ---------------  --------  -----------                                 
 Output     True             False     The stdout save in output directory         
 Quantity   0x0001           True      Registers Values.                           
 RHOSTS                      True      The target address range or CIDR identifier 
 RPORT      502              False     The port number for modbus protocol         
 StartAddr  0x0000           True      Start Address.                              
 Threads    1                False     The number of concurrent threads            
 UID        None             True      Modbus Slave UID.                           
SMOD modbus(readCoils) >set RHOSTS 192.168.1.6SMOD modbus(readCoils) >set UID 10SMOD modbus(readCoils) >exploit 
[+] Module Read Coils Function Start
[+] Connecting to 192.168.1.6[+] Response is :###[ ModbusADU ]###
  transId   = 0x2
  protoId   = 0x0
  len       = 0x4
  unitId    = 0xa###[ Read Coils Answer ]###
     funcCode  = 0x1
     byteCount = 1L
     coilStatus= [0]
SMOD modbus(readCoils) >

5、SCADAShutdownTool

SCADAShutdownTool是一个工业控制系统自动化和测试工具,允许安全研究人员和专家测试SCADA安全系统,枚举从属控制器,读取控制器的寄存器值并重写寄存器数据。SCADAShutdownTool允许枚举控制器的所有寄存器类型,包括线圈输出,数字输入,模拟输入,保持寄存器和扩展寄存器。

SCADAShutdownTool可以以不同的模式运行,包括:

安全模式:只读并列出非零值。

实模式:仅重写非零值。

积极模式:重写所有控制器寄存器。

控制器寄存器可以用用户指定的默认值或“关闭值”重新写入。

SCADAShutdownTool仅为研究目的而开发,强烈建议您不要将此工具用于非法目的。

下载:

SCADAShutdownTool v1.0 Beta

https://0xicf.wordpress.com/tools/scada-shutdown-tool

https://github.com/0xICF/SCADAShutdownTool

使用:

./SCADAShutdownTool.py

警告:

SCADAShutdownTool允许恶意攻击者在SCADA网络,工业控制系统和控制器上扫描,模糊和执行远程命令。对于使用此工具造成的任何损害,本站概不负责。

运行截图:

工业控制系统(ICS)安全专家必备的测试工具和安全资源

6、splonebox

splonebox是一个开源网络评估工具,专注于工业控制系统。它提供了对您的网络及其设备的持续分析。模块化设计允许编写额外的插件。

监控和数据采集(SCADA)是总结工业控制系统(ICS)设备的流行词。这些设备专门用于控制工业流程,如生产线甚至钻孔工厂。通常情况下,ICS由可编程逻辑控制器(PLC),执行器和传感器组成。通常情况下,工业网络还包括附加设备,如人机界面(HMI)或网关。

运行界面:

image.png篇幅有限,还有很多没有展示,等待大家自己去探索。

原文链接:https://www.freebuf.com/sectool/174567.html

阅读全文
2019-12-06 0 条评论 340 次浏览