文章总结： 本文是工业控制系统网络安全系列课程的第二课，重点讲解了ICS过程控制层的漏洞类型、利用方式及实际影响。课程通过一个工控网络拓扑示例，详细演示了攻击者如何从企业网络突破，经过DMZ横向移动，最终深入控制网络攻击PLC和HMI的完整路径。核心内容包括理解常见漏洞原理、掌握利用方法、识别物理过程影响，并介绍了典型攻击案例与防御思路。 综合评分： 85 文章分类： 工业控制系统安全,渗透测试,红队,内网渗透,漏洞分析

【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用过程

原创

老付话安全 老付话安全

老付话安全

2026年2月24日 20:35 山东

点击蓝字

关注我们

关注我，带给你不一样的精彩

世界因你的沉淀而出彩

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

本文字数：

4366字

阅读时间：

11分钟

本课重点讲解ICS环境中过程控制层的漏洞类型、利用方式及实际影响

目标

• 理解ICS过程控制层常见漏洞原理
• 掌握漏洞利用的基本路径与方法
• 能够识别漏洞可能引发的物理过程影响
• 了解典型攻击案例与防御思路

我们通过一个工控网络拓扑示例演示漏洞利用路径， 漏洞利用演示展示了攻击者如何通过三个网络进行穿行，并最终通过 HMI 获得对过程控制系统的控制权。根据提供的网络拓扑来分析和描述一个可能的攻击路径，展示攻击者如何从企业网络穿过DMZ最终到达自动化控制网络并控制HMI。

步骤1：初始入侵——突破企业网络

• 目标：进入企业内部网络，获得一个立足点。

• 方法：攻击者向企业员工发送鱼叉式钓鱼邮件（或者社工攻击，方法有很多，目的就是在目标网络中建立驻足点，所有的攻击都是需要进行打点操作），邮件附件包含恶意宏文档（如伪装成设备维护清单）。员工打开文档后，宏执行下载并运行远控木马（如Havex）。

• 技术细节：

• 恶意软件利用Windows漏洞（如CVE-2017-0199）或社会工程学诱导用户启用宏。

• 木马建立反向Shell连接至攻击者的C2服务器，使攻击者获得企业内部主机（这里假设IP为10.4.4.100）的控制权。

• 典型漏洞：用户疏忽、缺乏端点防护、邮件过滤不严。

步骤2：穿越防火墙——进入DMZ

• 目标：从企业网络跳转到控制系统DMZ，接近工控核心区域。

• 方法：攻击者在10.4.4.100上进行网络扫描，发现DMZ网段192.168.10.0/24，并识别出运行HTTP 服务的web服务器（192.168.10.21）。

• 技术细节：

• 扫描使用Nmap或类似工具：nmap -p 80,443,21,22,3389 192.168.10.0/24。

• 发现Web服务器后，攻击者尝试利用已知的IIS漏洞（如MS15-034 HTTP.sys远程代码执行漏洞）或弱口令后台。该web服务器可能存在默认配置或未打补丁的漏洞。

• 利用漏洞获取Web服务器的系统权限（例如上传WebShell或直接执行命令）。

• 典型漏洞：IIS漏洞、弱口令、未及时更新补丁。

步骤3：横向移动——定位关键数据服务器

• 目标：在DMZ内部移动，找到能够访问控制网络的机器，如历史数据库（Historian）或OPC服务器。

• 方法：从已被控制的Web服务器（192.168.10.21）向内扫描，发现历史数据库服务器（192.168.10.32）。该服务器可能运行OPC DA服务，且存在已知漏洞（如OPC空会话或RPC漏洞）。

• 技术细节：

• 攻击者使用Mimikatz抓取Web服务器本地账户哈希，并尝试用Pass-the-Hash登录其他机器。由于Windows 的NTLM认证较弱，可能成功。

• 或者，利用MS08-067（针对Windows 的RPC漏洞）直接获得192.168.10.32的系统权限。

• 一旦控制历史数据库服务器，攻击者便拥有了访问OPC标签的权限，可以读取过程数据，并可能通过OPC接口向PLC写入数据。

• 典型漏洞：Windows 系统未打补丁、OPC DA未授权访问、RPC远程代码执行。

步骤4：深入控制网络——攻击PLC

• 目标：从DMZ中的历史数据库服务器跳转至控制网络，直接攻击PLC。

• 方法：历史数据库服务器通常双网卡连接DMZ和控制网络（控制网络假设为192.168.1.0/24）。攻击者通过该服务器扫描控制网络，发现PLC（如西门子S7-300，IP 192.168.1.10）开放了102端口（S7comm）。

• 技术细节：

• 攻击者使用S7comm协议工具（如Metasploit的siemens_cpu_stop模块或Python脚本）直接与PLC通信。由于S7comm无认证，攻击者可发送停止CPU命令或修改寄存器值。

• 更隐蔽的方式：利用S7comm上传恶意功能块（FB），篡改离心机转速控制逻辑（类似震网病毒），同时修改HMI显示值以掩盖异常。

• 攻击者也可通过CIP协议（如果PLC是罗克韦尔）或Modbus协议进行类似操作。

• 典型漏洞：工控协议缺乏认证、PLC编程接口暴露、S7comm功能码滥用。

步骤5：直接控制HMI——操作员界面被劫持

• 目标：在无法直接攻击PLC时，转向控制HMI，通过HMI下发恶意指令。

• 方法：扫描控制网络发现HMI计算机（假设IP 192.168.1.5），可能运行Windows7系统。该HMI存在大量未打补丁的漏洞（如MS08-067、永恒之蓝）。

• 技术细节：

• 攻击者从历史数据库服务器向HMI发起永恒之蓝攻击（MS17-010），获得HMI的系统权限。

• 在HMI上，攻击者可以：

• 直接操作HMI软件（如Wonderware、WinCC）修改设定值。

• 截获HMI与PLC的通信，实施中间人攻击，篡改显示数据或控制指令。

• 植入勒索软件，导致操作员无法监控。

• 典型漏洞：Windows XP SP2无支持、SMB漏洞、HMI软件配置错误。

最终影响

攻击者成功从互联网渗透至控制网络，实现了对物理过程的控制。可能造成：

• 设备损坏：通过篡改PLC逻辑使离心机超速运行。
• 生产中断：停止关键控制器或关闭阀门。
• 安全事故：修改安全联锁，导致压力容器爆炸。
• 数据窃取：从历史数据库窃取工艺配方。

end

往期内容回顾****

| | | — | | 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险 | | 【工业控制系统网络安全系列课程】第1课-ICS组网基础 | | 【工业控制系统网络安全系列课程】第1课-工业控制系统概述 |

@请赐予我力量吧，关注和转发是最大的支持@

+VX：TCMAFNS119  欢迎进群交流

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老付话安全 老付话安全 老付话安全《【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用过程》