工业互联网安全测试技术：施耐德后门账号分析.docx

施耐德NOE771后门账号分析 实验原理 对施耐德NOE77101_Exec_V64.bin固件逆向分析完毕后，可以通过查看固件的服务加载过程，来查看初始化时所添加的账号等信息。 实验目的 掌握使用ida pro软件使用方法。 实验环境 Windows10，ida pro6.8 推荐课时数 推荐课时数：2课时 实验步骤 在NOE77101_Exec_V64.bin固件逆向分析完毕后，分析固件中的汇编函数调用关系如下： 图1 函数调用关系 老版本固件中usrNetworkInit->userNetAppInit函数默认调用telnetInit来开启telnet服务的问题已经在新版本固件中修复，同时usrToolsInit中默认调用usrWdbInit开启wdb服务的问题也解决了，但我们来看usrAppInit，固件后门账户还是存在。 图2 后门账号 查看VxWorksk开发手册，其中对于loginUserAdd函数的描述: 图3 loginUserAdd函数 其中Password提交的参数为经过vxencrypt加密后的值，符合逆向发现的固件的密码。Rapid7 研究员HD Moore曾