信捷解密实例.pdf

信捷 PLC的解密方法
信捷 PLC的解密具有一定的难度，很多人特别是新入门者，会觉得很难解。下面就分享
一下笔者的一些经验，供大家参考。经笔者试验，信捷 PLC在设计方面有几个漏洞，可以用
于 PLC解密。
先说软件方面的两个漏洞：
第一， 在 PLC已加密的情况下，如果最后一次 PLC与电脑连接时，曾向 PLC输入密码，在
退出软件前 PLC是在线状态的，那么通过串口向 PLC发送如下十六进制代码：
先发，
01 01 74 02 00 01 47 FA
再发，
01 03 44 54 00 01 D1 2A
最后发，
01 03 44 0A 00 03 31 39
这时 PLC就会直接返回 11 个字节：
01 03 06 3********** C5 5C
在这 11 个字节中，前 3 字节是地址和命令代码，最后 2 字节是 CRC校验的高字节
和低字节； 从第 4 字节到第 9 字节， 这 6 位就是密码了， 可以直接对应 ASCII码表翻
译出来，如上面的 31-36 就是十进制的 1-6，所以返回的密码就是 123456 。
第二， 除了上面的漏洞，还有一个就是，可以通过试错来得到，
信捷的密码解除指令为：
01 03 40 0A 00 01 B1 CB
发出这个指令与 01 01 74 02 00 01 47 FA
都会访问密码，不过后者在返回密码后还会上传程序，前者只是单纯的解除密码。
在发出这个指令后，再发如下指令
01 10 44 2C 00 03 06 * * * * * *# $
* 表示十六进制的密码，＃表示 CRC校验的高字节， $表示 CRC校验的低字节，这串
代码需要用计算机自动发送，运气好的情况下，很快会返回密码。这个方法同样适
用于三菱等 PLC。
再谈谈硬件方面的漏洞：
先发张图看看，下面的图是信捷 XC3-24RT-E的 PLC的拆机照片，
说说这个板子上的东西吧，下面介绍其中的芯片：
1. 图中最上方的 PLCC封装的芯片，是 PLC的控制芯片。我们知道，在软件上 PLC的组成
由系统程序 和用户程序 组成。系统程序有的也称自举程序，用户程序是用户也就是