Lösenord bakdörr för Millenium3 PLC

[microsan84]

Hej
skulle bara skriva att jag hittat ett sätt för att radera lösenordet/alternativt bara läsa ut det direkt
enkelt bara genom den vanliga FTDI baserade usb kabeln.
Finns på en specifik adress att bara läsa ut (2byte (16bit) LSB byte först)
Provade precis att skriva 0000 till samma adress. Och sedan bara läsa ut programmet ifrån PLC:n utan någon lösenordsförfrågan.
Allt detta var egentligen ingen lätt sak ifrån början, men efter avlyssning av data mellan M3 soft och M3 PLC
så lyckades jag först hitta adressen som lagrar antalet felaktiga försök och nollställde detta så jag kunde försöka utan någon 30min väntetid.

Jag listade ut att M3 soft bara läste data ifrån PLC:n för att sedan jämföra detta med lösenordet man skriver in, kunde naturligtvis inte hitta lösenordet då ( det hitta jag sen när jag hade bruteforcat ut det).

Sen skrev jag ett program i C# .net som via en virtuell COM-port, kunde ge "M3 soft" de svaren det ville ha
när jag provade olika lösenord, och även strunta i att ändra "antalet försök räknaren".
Det hela slutade med att jag även använde "Microsoft UI automation client" för att få mitt program att automatiskt skriva in lösenorden ett efter ett, tills att rätt lösen hittades. Då kom det nämligen upp ett "okänd" meddelande i mitt program samt att lösenords-dialogen slutade komma upp.

[rod02]