Как узнать пароль проекта Zelio Soft?
Почему мне пришлось “выяснять” чужой пароль? Я инженер АСУП государственного учреждения. В системе вентиляции объекта работают контроллеры Zelio. Внешние подрядчики их установили в 2015-2017 (я там не работал ещё) году, исходники, пароли если и передавали, то до сегодняшнего дня (13.11.2023) они не сохранились. Попытки связаться с автором программ оказались безуспешными. Далее картина маслом. Месяц назад один из контроллеров залили водой (как выяснилось неоднократно). Его DI вышли из строя, но сам контроллер, во всяком случае его интерфейс связи с компьютером, остался исправен. Аналогичный контроллер я нашел, благо на объекте куча неиспользуемых шкафов, а контроллеры везде одинаковые. При попытке считать программу из вышедшего из строя контроллера Zelio Soft запросил пароль.
Вот такой у меня кейс, вот так я пришёл к тому, что занялся взломом. Как водится прошерстил форумы и нашёл только упоминания о том, что пароль передается при обмене Zelio Soft с контроллером в открытом виде. Достаточно “послушать” СОМ порт. Но как послушать, как разобрать то, что услышал, понять в каком именно месте обмена данными передаются заветные 4 символа, подробностей найти не получилось.
Спустя пару вечеров все-таки удалось найти пароль в логе обмена! По свежим следам решил описать по шагам то, что я делал. Как говориться для чайников, к которым отношу себя в первую очередь. Возможно в будущем, эта статья поможет кому то сберечь пару часов своего драгоценного времени, а ТП получится восстановить быстрей... Мир во всем мире, наконец, наступит. Еще надеюсь на то, что все люди добрые и не станут применять мои инструкции для воровства чужой интеллектуальной собственности.
И так к делу. Мой метод подходит для тех, у кого есть второй, идентичный контроллер Zelio. С его помощью мы проведём сеансы связи и проанализируем логи обмена данными. Идея заключается в том, чтобы записать в этот контроллер проект и установить в нем свой (известный) пароль. Далее проделать попытку ввода ложного пароля и найти в логе обмена место расположения известного истинного пароля.
Исходные:
Контроллер 1 (SR2 E201BD) - это тот, в котором нужно узнать пароль.
Контроллер 2 (SR2 E201BD) - второй контроллер в который записан проект с известным паролем.
Компьютер, кабель SR2USB01 H2, интернет, электричество в розетке, 60 минут времени - само собой тоже потребуется.
Далее 19 шагов которые помогут “чайнику” скачать запароленный проект из контроллера Zelio.
1. Установить Zelio Soft 2 версии 4.5.0 (в 5+ пароль найти не удалось, похоже Schneider закрыли лазейку, но это не точно).
2. Установить драйвер SR2_USB01_H2.x_Setup.exe.
3. Установить Serial Port Monitor (у меня бесплатная триальная V 9.0.556).
4. Подключаем контроллер 2 со своим проектом и известным паролем.
5. Запускаем Serial Port Monitor. Устанавливаем просмотр в Line view. Запускаем прослушивание.
6. Запускаем Zelio Soft.
7. Нажимаем Download a program from a module.
8. Вводим неверный пароль.
9. Открываем Serial Port Monitor. Сохраняем лог в txt, открываем его в редакторе.
10. Открываем поиск и вбиваем в него настоящий пароль в обратной последовательности в hex. Т.е. если настоящий пароль в dec 1234, то в поиск вбиваем в hex D204.
11. Запоминаем место в логе, где он встретился (в моем сл. в 3-х местах). Я отсчитывал номера символов в посылке.
12. Меняем пароль в проекте контроллера 2 и повторяем пункты 5-11. Убеждаемся, что место расположения настоящего пароля в логе определено корректно.
13. Подключаем контроллер 1.
14. Запускаем Serial Port Monitor. Устанавливаем просмотр в Line view. Запускаем прослушивание.
15. Запускаем Zelio Soft.
16. Нажимаем Download a program from a module.
17. Вводим любой пароль (четыре цифры).
18. Открываем Serial Port Monitor. Сохраняем лог в txt, открываем его в редакторе.
19. Находим место расположения НАСТОЯЩЕГО пароля, которое вы вычислили на шаге #11. Как и в предыдущем случае пароль в логе будет представлен в hex в обратной последовательности: нашли, например, 3D06, значит преобразуем в dec 063D. Ваш пароль - 1597.
Для тех, у кого нет второго рабочего контроллера привожу примеры двух логов (в первом логе установлен пароль 1597, во втором 5555) обмена Zelio Soft с Zelio SR2 E201BD (настоящий пароль проекта отмечен жирным шрифтом). Если у вас абсолютно такой же контроллер как и у меня, то место расположения пароля в логе будет тем же.
Благодарю за прочтение, надеюсь моя статья вам не приходится, т.к. у вас всегда будут под рукой актуальные исходники всех проектов и пароли к ним. Подрядчики, время от времени будут вам позванивать, интересоваться все ли исправно в их ранее выполненной работе…
Первый пример лога.
:011000006C00020F0072
:011000006C000281
:011000006C00020E0073
:011000006C000281
:0103000066004056
:01034053523245323031424420202038383936303033310100040C08060010088D000032343632303037343235383231343132303402000200040500010204020503F21A
:0103000066404016
:01034004D42700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BD
:0103000066800412
:01030400000000F8
:011000006C00020F0072
:011000006C000281
:011000006C00020E0073
:011000006C000281
:0103000066004056
:01034053523245323031424420202038383936303033310100040C08060010088D000032343632303037343235383231343132303402000200040500010204020503F21A
:0103000066404016
:01034004D42700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BD
:0103000066800412
:01030400000000F8
:010300007A004042
:01034003000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000B9
:010300007A404002
:01034000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BC
:0103000028C040D4
:01034033318D010002000102040402103D06006F0500004C02003302C70116004700080000000000000000000000000000000000000000000000000000000000332C5590
:011000006C00020F0072
:011000006C000281
:011000006C00020E0073
:011000006C000281
:0103000066004056
:01034053523245323031424420202038383936303033310100040C08060010088D000032343632303037343235383231343132303402000200040500010204020503F21A
:0103000066404016
:01034004D42700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BD
:0103000066800412
:01030400000000F8
:010300007A004042
:01034003000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000B9
:010300007A404002
:01034000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BC
:0103000028C040D4
:01034033318D010002000102040402103D06006F0500004C02003302C70116004700080000000000000000000000000000000000000000000000000000000000332C5590
:011000007A004004318D010002000102040402103D06006F0500004C02003302C70116004700080000000000000000000000000000000000000000000000000000000000332C5538
:011000007A004035
:011000007A404000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000F5
:011000007A4040F5
:011000006C00020F0072
:011000006C000281
Второй пример лога
:010300006D00018E
:01030100FB
:011000006C00020E0073
:011000006C000281
:0103000066004056
:01034053523245323031424420202038383936303033310100040C08060010088D000032343632303037333938313331343131323002000200040400010204020403F21C
:0103000066404016
:01034004D42700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BD
:0103000066800412
:01030400000000F8
:011000006C00020F0072
:011000006C000281
:011000006C00020E0073
:011000006C000281
:0103000066004056
:01034053523245323031424420202038383936303033310100040C08060010088D000032343632303037333938313331343131323002000200040400010204020403F21C
:0103000066404016
:01034004D42700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BD
:0103000066800412
:01030400000000F8
:011000006C00020F0072
:011000006C000281
:011000006C00020E0073
:011000006C000281
:0103000066004056
:01034053523245323031424420202038383936303033310100040C08060010088D000032343632303037333938313331343131323002000200040400010204020403F21C
:0103000066404016
:01034004D42700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BD
:0103000066800412
:01030400000000F8
:010300007A004042
:01034000318D010002000102040402105C11000F050000F00200230019000300040000000000000000000000000000000000000000000000000000000000000000FC55D7
:010300007A404002
:01034000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BC
:0103000028C040D4
:01034033318D01000200010204040210B315000F050000F00200230019000300040000000000000000000000000000000000000000000000000000000000000000FC5549
:011000006C00020F0072
:011000006C000281
:011000006C00020E0073
:011000006C000281
:0103000066004056
:01034053523245323031424420202038383936303033310100040C08060010088D000032343632303037333938313331343131323002000200040400010204020403F21C
:0103000066404016
:01034004D42700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BD
:0103000066800412
:01030400000000F8
:010300007A004042
:01034000318D010002000102040402105C11000F050000F00200230019000300040000000000000000000000000000000000000000000000000000000000000000FC55D7
:010300007A404002
:01034000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000BC
:0103000028C040D4
:01034033318D01000200010204040210B315000F050000F00200230019000300040000000000000000000000000000000000000000000000000000000000000000FC5549
:011000007A004001318D01000200010204040210B315000F050000F00200230019000300040000000000000000000000000000000000000000000000000000000000000000FC55F4
:011000007A004035
:011000007A404000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000F5
:011000007A4040F5
:011000006C00020F0072
:011000006C000281