渗透测试（八）工控系统4大常见漏洞

在工控系统渗透测试中，漏洞就像工业设备上的“裂缝”——小则影响设备正常运行，大则引发生产线停摆、安全事故。对于初学者来说，不用害怕复杂的技术术语，今天这篇文章就用“生活化比喻+真实案例”，带你搞懂工控系统中最常见的4类漏洞：缓冲区溢出、注入漏洞、权限管理漏洞和协议漏洞，还会教你简单的检测方法，看完就能入门。

一、缓冲区溢出漏洞：像“水杯装太多水”，撑爆系统的“隐形炸弹”

1. 先懂原理：什么是缓冲区溢出？

你可以把“缓冲区”想象成工厂里的“原料暂存箱”，它有固定的容量（比如只能装100kg原料）。正常情况下，控制系统会按容量输送原料；但如果有人故意往里面塞200kg原料，箱子就会被撑爆，原料撒得到处都是，甚至会卡住后续的生产流程——这就是“缓冲区溢出漏洞”的本质：向系统的“数据暂存区域”输入超过其容量的数据，导致数据溢出后覆盖关键代码，最终让系统失控。

在工控系统中，缓冲区溢出漏洞常出现在PLC固件、SCADA软件的老旧版本中。因为早期工业设备更注重“稳定性”和“实时性”，对“数据容量限制”的安全设计不足，给了漏洞可乘之机。

2. 真实案例：西门子PLC的缓冲区溢出漏洞

2019年，安全研究员发现西门子S7-1200系列PLC存在严重的缓冲区溢出漏洞（CVE-2019-10999）。这个漏洞出在PLC处理“远程编程指令”的模块上：

• 正常情况下，工程师通过编程软件向PLC发送“读取寄存器数据”的指令时，指令长度会控制在100字节以内；
• 但如果黑客故意发送一条500字节的超长指令，PLC的“指令缓冲区”就会被撑爆，溢出的数据会覆盖PLC的“控制逻辑代码”；
• 最终导致PLC突然死机，连接的机械臂、传送带等设备全部停摆——当时某汽车零部件工厂因未及时修复该漏洞，导致生产线停工2小时，损失超百万元。

3. 初学者怎么检测？

不用复杂工具，用“边界值测试法”就能初步判断：

• 比如测试PLC的远程控制软件，正常输入10个字符的指令（如“READ_DATA”），观察系统是否正常响应；
• 再故意输入1000个连续字符（如“AAAAA…AAAAA”），如果软件闪退、PLC无响应，就可能存在缓冲区溢出漏洞；
• 专业点的话，也可以用Kali Linux自带的“boofuzz”工具（模糊测试工具），它会自动生成超长数据发送给目标设备，帮你快速定位漏洞。

二、注入漏洞：像“在快递单上改地址”，骗系统执行恶意指令

1. 先懂原理：什么是注入漏洞？

你寄快递时，快递员会按你填的地址送货；如果有人偷偷把你填的“A小区”改成“B仓库”，快递就会被送到错误的地方——注入漏洞的逻辑和这一样：黑客在系统的“输入环节”（比如登录框、指令发送框）插入恶意代码，欺骗系统把恶意代码当成“正常指令”执行。

工控系统中最常见的注入漏洞有两类：SQL注入（针对数据库）和命令注入（针对操作系统），尤其是需要和数据库交互的SCADA系统、工业云平台，最容易出现这类漏洞。

2. 真实案例：某水厂SCADA系统的SQL注入漏洞

2021年，某城市自来水厂的SCADA监控系统被发现存在SQL注入漏洞。这个系统的“水质数据查询页面”有个输入框，用户输入“水厂编号”就能查看对应水厂的水质数据，背后的逻辑是：

• 正常查询时，系统会执行SQL语句：SELECT * FROM water_quality WHERE factory_id = '用户输入的编号'；
• 黑客在输入框中输入1' OR '1'='1，此时SQL语句变成SELECT * FROM water_quality WHERE factory_id = '1' OR '1'='1'；
• 因为'1'='1'永远成立，系统会返回所有水厂的水质数据，包括未公开的“水源地污染指标”——如果黑客进一步输入恶意代码，甚至能修改水质数据，误导水厂的净化流程。

另一类常见的“命令注入漏洞”，可以看2020年某化工厂的案例：工厂的“设备远程维护系统”允许工程师输入“ping 设备IP”来检测网络连通性，背后会执行系统命令ping 192.168.1.10；黑客在输入框中输入192.168.1.10 && shutdown -s，系统就会先执行ping命令，再执行“关机命令”，直接导致维护系统宕机。

3. 初学者怎么检测？

针对输入框，用“特殊字符测试法”就能初步判断：

• SQL注入测试：在输入框中输入'（单引号），如果系统提示“SQL语法错误”，说明可能存在SQL注入漏洞；再输入1' OR 1=1#，如果能看到超出权限的数据，漏洞就已确认；
• 命令注入测试：在允许输入命令参数的地方（如ping测试框），输入127.0.0.1 && dir（Windows系统）或127.0.0.1 && ls（Linux系统），如果能看到目录文件列表，就存在命令注入漏洞。

三、权限管理漏洞：像“没锁门的仓库”，任何人都能随便进

1. 先懂原理：什么是权限管理漏洞？

工厂里的仓库会分“普通员工区”和“机密物料区”，普通员工只能进普通区；但如果仓库的门没锁，或者一把钥匙能开所有门，任何人都能随便进机密区——这就是权限管理漏洞：系统没有严格控制“谁能访问什么资源”，导致低权限用户（甚至未登录用户）能访问、修改高权限数据。

工控系统中，权限管理漏洞最常见的表现是“弱密码”“默认密码”“越权访问”，比如很多老旧PLC的默认登录密码是“123456”，SCADA系统的普通操作员能修改管理员才能改的参数。

2. 真实案例：某变电站SCADA系统的越权漏洞

2022年，某地区变电站的SCADA系统被检测出越权漏洞。该系统把用户分为“操作员”（只能查看数据）和“管理员”（能修改电压参数）两个角色：

• 正常情况下，操作员登录后，系统会给其分配“view”权限，只能访问/data/view路径下的页面；
• 但黑客发现，只要在浏览器地址栏把/data/view改成/data/edit，即使是操作员权限，也能直接进入“参数修改页面”；
• 更严重的是，该系统的管理员密码是默认的“admin123”，黑客用“操作员账号+越权访问”+“默认管理员密码”，直接修改了变电站的电压调节参数，导致周边片区电压不稳，部分居民家电被烧坏。

另一类典型的“弱密码漏洞”，可以看2023年某食品加工厂的案例：工厂的PLC控制系统用的是10年前的设备，登录密码一直是“123456”，且不强制修改；黑客通过Nmap扫描到PLC的端口后，用“密码字典”（包含123456、111111等常见密码的文件）暴力破解，仅用3分钟就登录成功，随后修改了流水线的转速参数，导致大量产品不合格。

3. 初学者怎么检测？

两类简单方法，初学者都能操作：

• 默认/弱密码检测：收集目标设备的“默认密码表”（比如西门子PLC默认密码、施耐德SCADA默认密码，网上能查到公开的清单），尝试登录；再用“Burp Suite”工具的“暴力破解”功能，加载弱密码字典，测试登录框；
• 越权访问检测：用低权限账号登录系统后，记录下访问页面的URL（比如/user/info），尝试把URL中的“user”改成“admin”（如/admin/info），如果能打开管理员页面，就存在越权漏洞。

四、协议漏洞：像“没加密的对讲机”，数据能被随便听、随便改

1. 先懂原理：什么是协议漏洞？

工业设备之间靠“工业协议”传递数据，就像工人之间靠“对讲机”沟通。如果对讲机没加密，任何人都能听到对话内容；如果没验证说话人的身份，任何人都能冒充工人发指令——这就是协议漏洞：工业协议在设计时缺乏“加密”“身份认证”“数据完整性校验”等安全机制，导致数据在传输过程中能被窃听、篡改、伪造。

工控系统中最容易出漏洞的协议有Modbus、OPC Classic、DNP3，这些协议大多是几十年前设计的，当时没考虑网络安全问题。

2. 真实案例：Modbus协议的“无认证”漏洞

2020年，某炼油厂的输油管道控制系统因Modbus协议漏洞被攻击。Modbus协议是工业领域最常用的协议之一，用于PLC和上位机（监控电脑）之间的通信，但它有个致命缺陷：没有身份认证，也没有数据加密——只要能接入工业网络，任何人都能发送Modbus指令控制PLC。

• 黑客通过厂区的无线网络接入工业网络后，用“Modbus Poll”工具（Modbus客户端软件）直接连接控制输油阀门的PLC；
• 正常情况下，PLC收到“0x05”指令会打开阀门，收到“0x06”指令会关闭阀门；黑客故意发送大量“0x06”指令，导致输油阀门频繁开关；
• 最终输油管道压力骤增，引发泄漏，工厂紧急停产检修，损失超500万元。

另一类常见的“协议数据篡改漏洞”，可以看OPC Classic协议的案例：某汽车工厂用OPC协议传输“机械臂位置数据”，黑客用Wireshark抓包获取OPC数据后，用“OPC Simulator”工具伪造了错误的位置数据发送给PLC，导致机械臂误操作，撞坏了生产线上的设备。

3. 初学者怎么检测？

用“协议分析工具”就能直观看到漏洞：

• 下载Wireshark，开启抓包后，过滤“Modbus”或“OPC”协议（在过滤器中输入“modbus”或“opc”）；
• 观察抓包结果：如果能直接看到“PLC地址”“寄存器值”“控制指令”等明文数据（比如能看到“0x05”“0x06”这样的Modbus指令），说明协议没加密；
• 再用“Modbus Slave”工具模拟PLC，尝试向目标设备发送随机Modbus指令，如果设备有响应（比如返回“确认”数据包），说明协议没有身份认证，存在漏洞。

总结：初学者如何应对这4类漏洞？

看完上面的案例，你可能会觉得“工控系统漏洞好危险”，但其实只要掌握“先检测、再防御”的思路，初学者也能帮系统“补漏洞”：

1. 先学检测：用Nmap扫端口、用Wireshark抓协议、用弱密码字典测登录，这些基础工具的操作不难，练3次就能上手；
2. 再学防御：针对不同漏洞做对应防护——缓冲区溢出漏洞要及时更-新设备固件，注入漏洞要过滤输入的特殊字符，权限管理漏洞要强制改默认密码、划分严格权限，协议漏洞要升级到加密协议（如Modbus TCP/IP Secure、OPC UA）；
3. 多关注案例：经常看工控安全厂商（如奇安信、深信服）发布的漏洞报告，了解最新的漏洞类型和攻击手法，比单纯学理论更有用。

工控系统的安全不是“一次性任务”，而是“持续的守护”——这些常见漏洞就像工业生产中的“安全隐患”，只要我们能提前发现、及时修复，就能守住工业生产的“生命线”。如果在检测过程中遇到问题，欢迎在评论区留言，我们一起讨论解决！