M-i-c-h-e-l
Honourable Member
Ik ben benaderd door een klant om hem te helpen met een probleem.
Een klant van hem, heeft veel PLC's draaien op schepen, software is wachtwoord beveiligd (dus bij up/download van het plc programma wordt een wachtwoord gevraagd). Leverancier van de PLC's is niet meer te bereiken (vraag me niet waarom, dit is wat ik hoor).
Nu wil hij proberen dat wachtwoord te achterhalen zodat hij het systeem kan upgraden.
Daar is een bepaalde procedure voor. Hier te vinden.
Ik geloof dat dit gaat werken, maar zal de nodige tijd kosten.
Nu vond ik nog een "andere methode": mensen die op internet een veelbelovend tooltje aanbieden dat het wachtwoord weet te achterhalen. Zelf denk ik dat dit scam is, maar wil graag bevestiging hiervan.
Dat zou om bijvoorbeeld dit tooltje gaan.
Wat denken jullie? Is dat het proberen waard? Of is het puur bedrog?
maartenbakker
Golden Member
"The mind is a funny thing. Sometimes it needs a good whack on the side of the head to jar things loose."
De pagina van het tooltje is mogelijk geschreven met AI, maar de programmeur komt kennelijk uit Bangladesh. Geen native English kan een geldig excuus zijn.
IK heb totaal geen ervaring met PLC's maar zou het in een testomgeving(!) zonder meer proberen. Het ziet er technisch plausibel uit.
henri62
1-st law of Henri: De wet van behoud van ellende. 2-nd law of Henri: Ellende komt nooit alleen.
Toevallig ben ik die pagina vorige week ook tegen gekomen omdat ik ook een S7-200 moest uitlezen. Gelukkig bleek die achteraf niet beveiligd.
Wat ik wel begrijp is dat bij plc versie 1.21 en lager het simpel te hacken is. Daarboven moet je zowiezo de eeprom eraf gaan solderen en uilezen om het image te hacken.
Maar dan heb je ook meteen de code zelf te pakken en kun je de boel op een test plc clonen.
henri62
1-st law of Henri: De wet van behoud van ellende. 2-nd law of Henri: Ellende komt nooit alleen.
Er zijn trouwens nog meer pagina's te vinden met hacks. Op de eerste pagina die je beschrijft staat volgens mij de python code om een pw de "decoden" ofwel te brute forcen.
[Bericht gewijzigd door henri62 op (52%)]
M-i-c-h-e-l
Honourable Member
Op woensdag 3 september 2025 14:48:24 schreef henri62:
Toevallig ben ik die pagina vorige week ook tegen gekomen omdat ik ook een S7-200 moest uitlezen. Gelukkig bleek die achteraf niet beveiligd.Wat ik wel begrijp is dat bij plc versie 1.21 en lager het simpel te hacken is. Daarboven moet je zowiezo de eeprom eraf gaan solderen en uilezen om het image te hacken.
Maar dan heb je ook meteen de code zelf te pakken en kun je de boel op een test plc clonen.
Ik begrijp dat je het tooltje niet hebt gekocht en gebruikt?
Waar vind ik de CPU versie?
Ik neem aan dat die alleen via de software is te vinden?
Staat meestal achter het klepje waar de aansluitingen achter zitten op de CPU. Meestal verticaal afgedrukt aan de linker voorkant bij Siemens.
SparkyGSX
Een manager is iemand die denkt dat negen vrouwen in één maand een kind kunnen maken
Hoe lang is het wachtwoord? Als het 4 cijfers zijn, het protocol simpel genoeg om dat stukje te implementeren, en de PLC niet op slot gaat na een aantal pogingen, of de snelheid beperkt, lijkt het me niet zo moeilijk om te achterhalen met een simpel scriptje.
Een alternatief kan zijn om de EEPROM uit te lezen, mogelijk zonder deze te verwijderen, door de CPU in reset te houden en dan te lezen, of door de communicatie tussen de EEPROM te onderscheppen. Als het wachtwoord in de CPU wordt opgeslagen, een niet in de externe EEPROM, en gebruikt wordt om de data in het EEPROM te encrypten heb je niet zoveel kans, maar dat verwacht ik eigenlijk niet.
Ik zou e.e.a. eerst oefenen op een PLC waar geen onvervangbaar programma in zit.
M-i-c-h-e-l
Honourable Member
Om nog even de afloop te vermelden van deze actie:
Het is gelukt het wachtwoord te achterhalen dmv de procedure (link in startpost).
Bij een 300 zal het wat moeilijker worden. Ik heb nog nooit gehoord dat het daar gelukt is.
De wachtwoorden die op de bouwstenen zelf zitten zijn er wel uit te halen met een goede hex editer. Dan moet je echter wel exact weten waar je moet zijn.
Je bedoelt de 1500?
De 300 is een kwestie van het mmc kaartje in de sd-lezer drukken, memory dump trekken met winhex
Volgens mij stond dat wachtwoord als plain text op het kaartje
En die simatic manager blokken had je programma's zoals s7canopener voor, dat was 2x klikken om die te ontgrendelen
Op zaterdag 22 november 2025 09:15:57 schreef DK:
Je bedoelt de 1500?De 300 is een kwestie van het mmc kaartje in de sd-lezer drukken, memory dump trekken met winhex
Volgens mij stond dat wachtwoord als plain text op het kaartjeEn die simatic manager blokken had je programma's zoals s7canopener voor, dat was 2x klikken om die te ontgrendelen
Nee, de 300 serie. Daar staat het wachtwoord niet in plain text op het kaartje. Dat heb je dan ook nooit zelf geprobeerd maar van horen zeggen.
M-i-c-h-e-l
Honourable Member
Op zaterdag 22 november 2025 19:22:38 schreef GJ_:
[...]Nee, de 300 serie. Daar staat het wachtwoord niet in plain text op het kaartje. Dat heb je dan ook nooit zelf geprobeerd maar van horen zeggen.
Bij de 200-serie staat het wachtwoord ook niet in leesbare tekst in de ROM-chip maar wordt gecodeerd opgeslagen. Weet je eenmaal de locatie dan is het eenvoudig om de decoderings-actie uit te voeren.
Geen idee hoe dat bij de 300 serie werkt.