среда, 12 августа 2015 г.

Как открыть запароленные блоки в программе для Siemens S7-200 и S7-200 Smart

Как известно, снятие пароля с контроллера S7-200 - задача решаемая паяльником. Также вполне успешно решена задача взлома пароля, установленного на файл проекта для Step-7/MicroWIN. Но вслед за успешной выгрузкой программы после взлома ПЛК или радости от просто случайно попавшей в руки программы, может настичь разочарование: функциональные блоки могут быть защищены паролем. Задача взлома пароля решается довольно-таки просто. Спасибо разработчикам отладчика OllyDBG.



На этом ролике демонстрируется считывание пароля для старой версии Step-7 MicroWin. На самом деле этот пароль нафиг не нужен, достаточно подправить файл библиотеки datamanagers200.dll, чтобы программа любой пароль воспринимала как верный. Я поправил библиотеку для Step7 Microwin последних версий:

CRACK datamanagers200.dll for Step-7 Microwin (S7-200)


CRACK datamanagers200.dll for Microwin 4.0 SP8 (XP) and SP9 (Win7):

LINK

 

Замените этим файлом оригинальный в папке с программой в каталоге /bin.
На запороленные data-блоки crack тоже распространяется.

CRACK datamanagers.dll for Step-7 Microwin SMART (S7-200 SMART)

Microwin SMART 2.0:

LINK

Версия 2.0 имеет существенное положительное отличие от версии 2.2 - в версии 2.0 вы можете распороливать не только чьи-то закрытые функции, но и функции, написанные программистами Siemens (например, функции обмена данными по RS485). В версии 2.2 убрана сама возможность ввода пароля для таких функций, т.е. они закрыты всегда без возможности их распаролить.

Microwin SMART 2.2:

LINK

 

32 комментария:

  1. How to upload a program for S7-200 SMART using your techniques, I try your datamanager.dll for upload from PLC is not working. Please help me

    ОтветитьУдалить
  2. На данный это невозможно осуществить известными мне способами. Данный пример рассматривает взлом отдельных запороленных блоков данных и программных блоков. Запоролевание блоков производится отдельно от запоролевания контроллера. Что касается взлома контроллера, то, вероятно, способ похож на тот, которым взламывался S7-200. Т.е. подключался программатор к EEPROM (используется 24x или 25x серия), считывался дамп и специальной программой из этого дампа извлекался пароль. Насколько это актуально для S7-200 Smart я не знаю. Одну могу сказать - в плате 25x серии, которая присутствует в S7-200 Smart, пароля не хранится. Мы подключали её к программатору и считывали несколько раз для одинаковых программ с разными паролями - содержимое дампа не изменялось.
    ---------------------------------------------
    It is impossible to carry out in the ways known to me now. This example is reviewed by breaking separate password-protected blocks of data and program blocks. Protection of blocks is made separately from a PLC-protection. As for breaking of the PLC, probably the way is similar on with what S7-200 was hacked. I.e. the programmator was connected to EEPROM (a series is used 24x or 25x), read out dump and the special program took the password from this dump. As far as it is actual for S7-200 Smart I don't know. I can tell one - in a board 25x a series which is present at S7-200 Smart of the password it isn't stored. We connected it to a programmator and read out several times for same programs with different passwords - dump contents didn't change.

    ОтветитьУдалить
  3. I'm trying using Ollydbg, but i dont know the address to read the dump value, can you inform me the dump address to read the value. And where I must take the breakpoint.

    ОтветитьУдалить
    Ответы
    1. Ollydbg для этого не используется. Для считывания дампа необходимо разобрать контроллер, выпаять микросхему EEPROM, подключить EEPROM к программатору.
      ---------------------------------------------
      Ollydbg isn't used for brake PLC protection. For reading the dump it is necessary to disassemble the PLC, to solder EEPROM chip, to connect EEPROM to a programmator.

      The 24x 25x EEPROM programmator:
      http://www.aliexpress.com/item/Free-Shipping-CH341A-24-25-Series-EEPROM-Flash-BIOS-DVD-USB-Programmer-W-Software-Driver-C1B5/1795354296.html

      Удалить
    2. Но я еще раз напоминаю, что вариант с программатором подходит только для S7-200, не для S7-200 Smart!
      ---------------------------------------------
      But I once again remind that the option with a programmator is suitable only for S7-200, not for S7-200 Smart!

      Удалить
  4. How about using ethernet sniffer ? have you ever try that ?

    ОтветитьУдалить
    Ответы
    1. Я не пробовал этот способ. Я могу посоветовать только один вариант: если разработчик программы (который знает пароль) будет вносить изменения через подконтрольный вам компьютер (например, через удаленный доступ), то можно предварительно установить на такой компьютер keylogger.
      ---------------------------------------------
      I didn't try this way. I can advise only one option: if the developer of the program (who the password knows) makes changes via the computer under control to you (for example, through remote access), it is possible to establish keylogger previously on this computer.

      Удалить
  5. Ответы
    1. Проверено на Step7 Microwin версии 4.0.8.06 (SP8) и 4.0.9.25 (SP9), всё отлично работает.

      Удалить
  6. Подтверждаю для s7-200 smart скачивание дампа из eeprom бесполезное занятие, решение пока что не найдено

    ОтветитьУдалить
  7. Как запустить симулятор у меня тормазит не отвечает программа

    ОтветитьУдалить
  8. Thank you for great the tools. Do you have datamanagers.dll for S7-200 SMART V2.3.
    Rgds.

    ОтветитьУдалить
  9. Hello, I have tried to replace cracked dll for microwin SP8 and after that I have error message like this:

    "The procedure entry point ?IsPLCPasswordProtected@MWPrjObjMgr@@QBEJAAH@Z could not be located in the dynamic link library objectmanagers200.dll"

    ОтветитьУдалить
    Ответы
    1. Is error occurred when the program was started (simply .exe without opening associated file .mwp) or after the project .mwp file was opened?

      Удалить
    2. Yes, an error appears when the program is starting.

      Удалить
    3. I shall try to check it. Checking will require an Windows XP for Microwin SP8, it is not easy to find PC with this OS today...

      Удалить
  10. Zdrastvuyte, etot sposob rabotaet tolko na windows xp?

    ОтветитьУдалить
    Ответы
    1. Нет. На Windows XP работает Step-7 Microwin SP8, потому что SP8 - это обновление только для XP. Обновлением для Win7 и выше является SP9. Dll-ка одна и та же для обеих версий

      Удалить
  11. Познакомился вчера с серией "смарт", - голова квадратная уже. Не смог победить вопрос: как добавить мой USB/PPI кабель в выбор интерфейса? В степ7 микровин смарт вообще можно добавить интерфейс как в обычном микровине? Порождение сатаны пишет мне, что мастер-кабель нот аттачед, несмотря на все мои пляски с бубнами. Закрадывается мысль попробовать законнектиться через тупо патч-корд, вдруг пролезет.

    ОтветитьУдалить
    Ответы
    1. S7-200 Smart программируются только через обычный Ethernet. Интерфейс PPI там только для подключение панелей оператора. Step-7 Micro/win Smart присутствует как точка доступа в настройках PG/PC Interface и называется MWSMART, только USB/PPI там выбирать бесплолезно, выбирать надо просто сетевую карту

      Удалить
  12. Взлом S7-200 CN, включая уровень 4
    https://www.youtube.com/watch?v=tpVHFoZlel8&t=346s

    ОтветитьУдалить
    Ответы
    1. да, я тоже всё хотел написать про взлом паяльником, но чо-то забыл совсем. Программатор, если кому надо, по ссылке:

      https://www.aliexpress.com/item/4000430893276.html

      Удалить
  13. Нашли способ взломать смарт серии?

    ОтветитьУдалить
  14. I have find a way to get BIN file from S7-200 Smart Series ST40, and it use IS25LQ010 IC, please respond if you're interested. Thanks.

    ОтветитьУдалить
    Ответы
    1. Are you suggesting that the password is stored on this chip?

      Удалить
    2. Здравствуйте. Не пробовали с EEPROM рапароленного контроллера s7-200 smart считать дамп, сбросить контроллер на заводские настройки и снова залить дамп? Не получится таким образом сбросить пароль?

      Удалить
  15. Автор красава! Очень помогло мне!

    ОтветитьУдалить