[?]: How to unlock password s7 200 connecting PC/PPI cable?

[Abdo_1526]

I can't upload the programme from a S7 200 cpu 226 v2.0 because is protected by a password

I tried some utilities but no way
I can not use a serial PPI cable because the speed of the plc is changed to 187.5 k/s
I have used a USB pc adapter cable to reconize the plc

please these a way to solve this probleme

thanks a lot

A.G

[votuandktd]

This program only crack password S7-200 v1. Have any program crack pass S7-200 V2?

[pnhgholami]

Dear All,
this link was deleted, would you please share it again?

http://plcforum.uz.ua//S7-200.exe.html

best regard

[vlad2006gr]

Relink
S7_Unlock_2006_09_11.zip
Good luck!

[stas_work]

vlad2006gr перезалейте, пожалуйста, файлик. сервер ругается что лимит трафика владельца файла исчерпан

[WH_Mike]

English the password was obtained

Show

Hello everyone.
There was a problem - I couldn't download a backup program from CPU 224 v02.00, the controller required a password to download.

In short, the password was obtained using the Chinese program Crack_s7-200CN-UNLOCK_RAR_OK ,
which was shared by phanvantuan6 (see above), for which a huge THANK YOU!

In more detail, the process was as follows:
1) The customer contacted us with a request to fix a malfunction of the S7-200 controller (CPU 224).
The TD200 panel connected to the NMI stopped displaying the menu and complained about the lack of response from the controller,
while the controller continued to execute its program, worked without signaling any malfunctions.
But it was not possible to establish a connection with the controller. The controller was removed for diagnostics and repair,
which allowed us to experiment with hacking later.
2) After repair (replacement of about 15 resistive assemblies on different boards), communication with the controller appeared,
and an attempt was made to download and save a backup of the project program for possible subsequent
recovery (if the controller suddenly goes under). However, the PLC required a password for downloading.
3) An attempt was made to pick up the password using the KeyS7 v3.14 program (aka "Search password S7",
http://www.sp-s7.narod.ru , my respect PPP )
A USB-MPI/PPI PC adapter was used to communicate with the PLC. Unfortunately, with this program and this adapter, it was not possible to establish communication with the controller, the program simply hung at the stage of establishing communication, so it did not even get to the point of opening the password.
4) Then an attempt was made to download the EEPROM dump (as indicated at the beginning of the topic) by making
I2C Serial programmers and soldering them to the AT24C256N chip directly on the controller board.
To read the EEPROM, the PoniProg software was used (with its simplest programmer via LPT) and after failure -
I used the IC-Prog program and a programmer with MAX232 and K1533LA3, as Info told me at the beginning of the topic
(for which a special THANKS to him!!! ). After dancing with a tambourine, I found out that the programmer on LPT
(with the PoniProg program) does not work and it is very difficult to find out the reason for this, since neither clock pulses,
nor data pulses can be seen during a short moment of polling and the program issuing an error about the lack of communication.
The IC-Prog program with the programmer on the COM port did not complain in principle, honestly tried to read the data,
but read obvious nonsense - either 00h, or FFh, or something else, but constant. But the long reading process
allowed us to find out the reason for the failure - on the EEPROM chip soldered into the PLC board, the clock frequency signal had an amplitude of 1.5 - 1.8 V instead of the required 5 V (the circuit or the processor heavily loads the programmer). Reducing the limiting
resistor from 4.7 kOhm to 150 Ohm did not give an obvious effect (the amplitude rose only to 2 - 2.5 V). I did not reduce it further
so as not to burn the processor and the circuit. I had to unsolder the EEPROM from the controller board and solder it directly
to the programmer, after which the dump was successfully read and saved as a *.bin file. 5) After receiving the BIN file, I tried to crack the password using the program: "Unlock_and_converter_MMC_Image_S7.exe" (aka "Unlocks7_200and300.exe"). Unfortunately, the program returned an incorrect password: *икH+ZлK (instead of 12529, as it turned out later), while as I read in the KeyS7 help for the S7-200, the password cannot have lowercase characters, all characters must be uppercase (if the password contains letters). So, there was a failure here too.
For the analysis of the EEPROM dump and the development of Unlock_and_converter_MMC_Image_S7.exe, I posted a BIN file for CPU224
with the password 12529 for downloading from PLC here:
CPU_224_Upload_Password_12529
6) Now the forces are exhausted, it's the middle of the night outside the window, the last hope is a miracle of Chinese software thought,
program: Crack s7-200CN-UNLOCK RAR OK, provided by phanvantuan6.
This program requires a COM port and an RS232-PPI adapter to communicate with the controller (in this case, PPI is the same RS485, with the connection of lines A (D+) to pin3, B (D-) to pin8 of the MPI/PPI controller connector).
I added a short Russian instruction Readme.txt to the program archive and posted the package here:
Crack_s7-200CN-UNLOCK_RAR_OK
Checking the COM port settings, speed, address, pressing the middle right button in the program window ...
and voila, the password is determined - 12529.
7) Connected to the PC controller with a USB-MPI/PPI adapter, launched MicroWIN, pressed Upload,
entered the password 12529 at the controller's request, and that's it - the program from the controller successfully migrated
to my laptop! And then - a question of the desire to pick at the program, change - erase the password, modify,
correct, etc. at the customer's request.

I hope this experience will be useful to someone and save your precious time.
Time is a priceless thing, since it cannot be returned.

Russian пароль удалось получить

Show

Всем привет.
Была проблема - не мог скачать бекап программы из CPU 224 v02.00, контроллер требовал пароль для скачивания.

Если вкратце, то пароль удалось получить с помощью китайской проги Crack_s7-200CN-UNLOCK_RAR_OK ,
которой поделился phanvantuan6 (см.выше), за что ему огромное СПАСИБИЩЕ!

Если подробнее, то процесс был следующим:
1) Заказчик обратился к нам с заявкой на устранение неисправности контроллера S7-200 (CPU 224).
Связанная с нми панель TD200 перестала отображать меню и ругалась на отсутствие отклика контроллера,
при этом контроллер продолжал выполнять свою программу, работал без сигнализации каких-либо неисправностей.
Но связи с контроллером установить не удавалось. Контроллер был снят на диагностику и ремонт,
что позволило в дальнейшем поэкспериментировать со взломом.
2) После ремонта (замены около 15 резистивных сборок на разных платах) связь с контроллером появилась,
и была сделана попытка скачивания и сохранения бэкапа программы проекта для возможного последующего
восстановления (если контроллер вдруг накроется медным тазом). Однако PLC потребовал пароль для скачивания.
3) Была проведена попытка подбора пароля с помощью проги KeyS7 v3.14 (она же - "Search password S7",
http://www.sp-s7.narod.ru , мой респект PPP )
Для связи с PLC использовался PC адаптер USB-MPI/PPI. К сожалению, с этой прогой и этим адаптером связь с контроллером
установить не удалось, прога тупо зависала на этапе установки связи, так что до вскрытия пароля дело вообще не дошло.
4) Тогда была предпринята попытка скачивания дампа EEPROM (как указано в начале темы) посредством изготовления
программаторов I2C Serial и подпайки к микросхеме AT24C256N прямо на плате контроллера.
Для чтения EEPROM использовалось ПО PoniProg (c его простейшим программатором через LPT) и после неудачи -
воспользовался прогой IC-Prog и программатором с MAX232 и К1533ЛА3 как рассказал Info в начале темы
(за что ему отдельное СПАСИБО!!! ). После танцев с бубном, выяснил, что программатор на LPT
(c прогой PoniProg) не работает и выяснить причину этого весьма затруднительно, так как ни тактовых импульсов,
ни импульсов данных увидеть не возможно за краткий миг опроса и выдачи прогой ошибки отсутствия связи.
Прога IC-Prog с программатором на СОМ порте в принципе не ругалась, честно пыталась считать данные,
но считывала явную ерунду - либо 00h, либо FFh, либо еще что-то, но постоянное. Зато длительный процесс чтения
позволил выяснить причину неудачи - на впаянной в плату PLC микросхеме EEPROM сигнал тактовой частоты имел
амплитуду 1,5 - 1,8 В вместо положенных 5 В (схема или проц сильно грузят программатор). Уменьшение ограничительного
резистора с 4,7 кОм до 150 Ом явного эффекта не дало (амплитуда поднялась лишь до 2 - 2,5 В). Дальше уменьшать не стал
дабы не спалить проц и схему. Пришлось выпаять EEPROM из платы контроллера и припаять непосредственно
к программатору, после чего дамп был успешно считан и сохранен в виде *.bin файла.
5) После получения BIN файла попытался вскрыть пароль с помощью проги: "Unlock_and_converter_MMC_Image_S7.exe"
(она же "Unlocks7_200and300.exe"). К сожалению, прога выдала неверный пароль: *икH+ZлK (вместо 12529 , как
выяснилось позже), при этом как я читал в справке к KeyS7 у S7-200 пароль не может иметь строчных символов, все
символы должны быть заглавными (если буквы есть в пароле). Так что и здесь неудача.
Для анализа дампа EEPROM и развития Unlock_and_converter_MMC_Image_S7.exe выложил BIN файл для CPU224
c паролем 12529 для скачивания из PLC здесь:
CPU_224_Upload_Password_12529
6) Вот силы иссякли, середина ночи за окном, последняя надежда - чудо китайской программной мысли,
прога: Crack s7-200CN-UNLOCK RAR OK, предоставленная phanvantuan6.
Эта прога требует для общения с контроллером СОМ порт и адаптер RS232-PPI (в данном случае, PPI - это
тотже RS485, с подключением линий A(D+) к pin3, B(D-) к pin8 разъема MPI/PPI контроллера).
Я добавил краткую русскую инструкцию Readme.txt в архив проги и выложил пакет тут:
Crack_s7-200CN-UNLOCK_RAR_OK
Проверка настроек СОМ порта, скорости, адреса, нажатие на среднюю правую кнопку в окошке проги ...
и вауля, пароль определен - 12529.
7) Подключился к контроллеру PC адаптером USB-MPI/PPI, запустил MicroWIN, нажал Upload,
на запрос контроллера ввел пароль 12529, и готово - прога из контроллера успешно перекочевала
в мой ноут! А дальше - вопрос желания ковырять прогу, менять - стирать пароль, модифицировать,
корректировать и т.п. по запросу заказчика.

Надеюсь этот опыт будет кому-то полезен и сохранит Ваше драгоценное время.
Время - вот вещь не имеющая цены, так как ее невозможно вернуть.

[WH_Mike]

Сегодня попробовал с помощью Crack_s7-200CN-UNLOCK_RAR_OK вскрыть пароль для скачивания у S7-200 CPU 224 v02.01
- увы, неуспешно. Прога пароль не выдает и, судя повсему, говорит, что работает только с версией 02.00.

Может кто знает аналогичную прогу для более новых прошивок CPU?

Today I tried with Crack_s7-200CN-UNLOCK_RAR_OK to get Upload password of S7-200 CPU 224 v02.01.
Suddenly unseccessfully.
It seems that this program is only for CPU v02.00, other firmware version CPU not supported.

May be someone knew identical programms for other firmware version CPU?

[Icerazor]

Столкнулся с аналогичной проблемой, надо определит пароль для скачивания 224 CN V02.01. Пробовал скачать дамп из EEPROM, по методу, описанному, здесь http://www.plc4good.org.ua/view_post.php?id=107,
однако вместо информации в дампе куча нулей. Может быть связано с тем, что сейчас стоит 4256BWP вместо AT24C64 (со старым контроллером где установлен AT24C64 все получается).
Попробовал выложенную недавно Crack_Siemens_S7-200_V__2013.html, однако непонятно как она запускается - в диспетчере задач приложение появляется под именем SiemensPassword, не по детски грузит процессор и пропадает через 20 сек. А вроде бы должно появиться вот это http://www.plcjiemi.com/2010vjiemi.htm
Кому нибудь удалось запустить вышеуказанную прогу??? Кому-нибудь удалось вскрыть s7-200 V02.01???

[WH_Mike]

Icerazor
Таже беда. Перепробовал все три указанные версии 2010, 2012, 2013.
2010 - запускается нормально, но думаю, что пароль для 02.01 не вскроет, так как по дате (14.02.2011) она более древняя,
чем в Crack_s7-200CN-UNLOCK_RAR_OK (21.07.2011). К сожалению в данный момент контроллера 02.01 под рукой нет.
2012 и 2013 - запускаются без открытия рабочего окна, и, через полминуты загрузки проца, молча вылетают.
К тому же на 2012 ругается моя Avira - типа в ней троян: "TR/Obfuscate.EH.5026". Может и лажа, но на другие версии не ругается.

phanvantuan6
Crack_Siemens_S7-200_V__2013 after start does not show any work window. In Task Manager this program stay about a half minute,
hard loading processor and then silently disappear (closing).
Do you have this problem or did you solve it?

Unlock_Password_S7_-_200_Project - not clearly understanding: click on the only single button lead to open project.
I choose the project that, I know, have password level 3, but nothing is happend - text field still stay empty. No any password.
How correctly using this programm?

Tahks and Best Regards!

[zerkmax]

control panel\language and regional standards\advanced tab\language for unicode set chinese.
after that everything starts

панель управления\язык и региональные стандарты\вкладка дополнительно\язык для Юникода поставить китайский.
после этого все запускается

[WH_Mike]

zerkmax,
THANKS for the tip!
Indeed, I enabled the "Chinese (PRC)" language in the "Language for programs that do not support Unicode" section, rebooted and the program started working!

However, in order for this Chinese language to appear in the list of available languages, you need to check the "Install support for languages ​​with hieroglyphs" box on the Languages ​​tab and install the Eastern languages.
And for this, you either need to have the full version of the Windows installation disks, or download the archive with the necessary files from here:
http://curiositychillsthecat.wordpress. ... haracters/
or directly from here:
http://www.mediafire.com/?g0x8zaaj3t72b6e.
I don't recommend searching and downloading one file needed for Windows, as there are a LOT of them in the list.

As soon as I get to S7-200 v02.01, I'll try to crack the password and write about how the programs work.

СПАСИБО за подсказку!
Действительно, включил в разделе "Язык для программ не поддерживающих Юникод" язык "Китайский(КНР)", перегрузился и прога заработала!

Однако, чтобы этот Китайский язык появился в списке доступных языков, надо на вкладке Языки поставить галочку "Установить поддержку языков с письмом иероглифами" и установить восточные языки.
А для этого надо либо иметь полную версию установочных дисков винды, либо скачать архив с нужными файлами отсюда:
http://curiositychillsthecat.wordpress. ... haracters/
или сразу отсюда:
http://www.mediafire.com/?g0x8zaaj3t72b6e.
По одному нужному винде файлу искать и качать не рекомендую, так как их в списке ну ООООчень много.

Как в ближайшее время доберусь до S7-200 v02.01 попробую вскрыть пароль и отпишусь про работу программ.

[zerkmax]

unlock2013 did not find the controller.
RS232/PPI Multi Master cable
Step MicroWin connects to the controller only at 187.5 kbps at other speeds it cannot.
controller 226 version 2.01

unlock2013 не нашел контроллер.
шнур RS232/PPI Multi Master
Step MicroWin подсоединяется к контроллеру только на скорости 187,5 кбит/сек на других скоростях не может.
контроллер 226 версия 2.01

[WH_Mike]

Finally got to the controller, but still couldn't crack the password.
Screenshots of the program 2013:
- the initial view of the window at startup (with the signature of the button assignment),
- after detecting the controller,
- after determining the controller type,
- after trying to determine the password.
After translating by Google from Chinese to Russian (with a small author's edit):
"Unable to find the password, 02.00 or later - need to analyze the decoding.
For detailed understanding, please click on the next button
"Problems and Help" "

So this program can't crack the password for v02.01. The only hope left is to download the EEPROM dump and decrypt the password from there as described above

Наконец добрался до контроллера, но вскрыть пароль все же не удалось.
Скриншоты программы 2013:
- исходный вид окна при старте (с подписью назначения кнопок),
- после обнаружения контроллера,
- после определения типа контроллера,
- после попытки определения пароля.
После перевода гуглом с китайского на русский (с небольшой авторской правкой):
"Невозможно найти пароль, 02,00 или позже - нужно разбирать расшифровку.
Для детального понимания пожалуйста, нажмите на следующую кнопку
"Проблемы и помощь" "

Так что эта прога вскрыть пароль для v02.01 не может. Остается надежда только на скачивание дампа EEPROM и расшифровку пароля оттуда как описывалось выше.

[MultidoS]

Здравствуйте удалось ли сломать пароль от simatic s7-200 224xp REL 02.01?
возможен ли подбор пароля simatic s7-200 224xp REL 02.01 из hex снятого с EEPROM или еще никто не пробовал это делать с 02.01? Заранее спасибо...

Добрался таки до simatic s7-200 224xp REL 02.01 вскрыл... скачал данные EEPROM (4256BWP) вес bin файла 32kB есть здесь здравомыслящие люди которые могли бы помочь вытянуть оттуда пароль? Unloc выдает белиберду СА5ЗцСсО...
В Search Password S7 писалось что могут использоваться только строчные символы (

question removed... password cracked
вопрос снят.... пароль взломан

[WH_Mike]

MultidoS
If it's not a secret, how did you read the EEPROM and crack the password?
And also - did you unsolder the microcircuit from the board or connect it directly to the controller board?

Если не секрет, чем считывали EEPROM и вскрывали пароль?,
а также - выпаивали микруху с платы или подключались к ней прямо на плате контроллера?

[MultidoS]

connected directly to the board, having carefully lifted 2 EEPROM legs from the board, namely CLK and DATA...
Otherwise, only zeros are counted...
good luck

подключался прямо на плате предварительно аккуратно подняв 2 ноги EEPROM с платы, а именно CLK и DATA...
Иначе считаются одни нули...
успехов

[ovenrog]

Direct Read EEPROM 4256BWP
and check password CPU-224cn rel: 02.01

Сегодня удалось подключиться к EEPROM 4256BWP ,найти пароль и скачать проект из CPU-224cn rel: 02.01

[ytangsuan]

From my experience, S7-200
1. Firmware 2.01 & Password Level 4 = 0%
2. Firmware 2.01 & Password Level 3 = less than 50%
3. Firmware 2.00 & Password Level 3 = 100%
Firmware 2.01 is always made in China and its model ends with CN ie. CPU224CN

[hmohamed]

can you share the tool links that you use?

[asimvirk]

when i upload pro gramme S7-200 226 cpu
message is (uploading is prohibited any solution????????????

[maher]

Direct Read EEPROM 4256BWP
and check password CPU-224cn rel: 02.01

Сегодня удалось подключиться к EEPROM 4256BWP ,найти пароль и скачать проект из CPU-224cn rel: 02.01

how can i find ( scl and sda ) for this chip??????

please help because i searched about the data sheet but i didnt find it

[ihosvany]

I have a CPU 224 XP protected by password level 3. I was working in a force brute method program to unlock the CPU. I have a doubts in the PLC Tx frame. When the Microwin send to the PLC the frame with password:

Tx - 68 21 21 68 02 00 7c 32 07 00 00 00 42 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 6c 6c 00 00 6c 6c 00 00 3b 16
Tx - 68 21 21 68 02 00 5c 32 07 00 00 00 7b 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 6c 6c 00 00 6c 6c 00 00 54 16
Tx - 68 21 21 68 02 00 5c 32 07 00 00 00 7c 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 6c 6c 00 00 6c 6c 00 00 55 16
Tx - 68 21 21 68 02 00 5c 32 07 00 00 00 7d 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 64 6c 08 00 64 6c 08 00 56 16

How is calculated the characters in red color?

Best regards...

[mitiay]

Всем привет! С наступающим НОВЫМ ГОДОМ!!!
Пытался считать программу из S7-200 CN. MicroWin определил процессор CPU 224 CN REL 02.01.
при Upload - запрос пароля! Ладно, произвёл трепанацию и считал дамп из 4256BWP.
С помощью Unlock_and_converter_MMC_Image_S7 вытащил пароль. Ура!!!
Но рано обрадовался.
При Upload программного блока выводится ошибка "Block version is a newer version and cannot be uploaded"
Блок данных считывается без проблем.
У меня MicroWin(STEP 7- Micro/WIN V4.0 SP8) старый или какая-то другая причина?

[tuangp]

Всем привет! С наступающим НОВЫМ ГОДОМ!!!
Пытался считать программу из S7-200 CN. MicroWin определил процессор CPU 224 CN REL 02.01.
при Upload - запрос пароля! Ладно, произвёл трепанацию и считал дамп из 4256BWP.
С помощью Unlock_and_converter_MMC_Image_S7 вытащил пароль. Ура!!!
Но рано обрадовался.
При Upload программного блока выводится ошибка "Block version is a newer version and cannot be uploaded"
Блок данных считывается без проблем.
У меня MicroWin(STEP 7- Micro/WIN V4.0 SP8) старый или какая-то другая причина?

FYI from http://www.plctalk.net/qanda/showthread.php?t=31705

if you want to download a program from a Siemens s7- 200 CN PLC.
You must have Microwin4.0 + SP5, Windows chinese language support loaded and choosed as input language.

And in Microwin tools > options > general select chinese.
And then every written word will be question mark but you will be able to upload and download program.

[serik]

Хотелось бы рабочую ссылку, где её можно скачать. А где про неё прочитать можно я и сам могу найти.

[zaplatin]

Хотелось бы рабочую ссылку, где её можно скачать. А где про неё прочитать можно я и сам могу найти.

я скачал с депозита
viewtopic.php?f=31&t=7029&view=print




программа для нахождения пароля с дампа флешки s7'200реально работает:
http://plc4good.org.ua/view_post.php?id=107
файл дампа был bin этой программой его открыл конвертировал в wld потом подсунул wld файл и пароль нашелся.

Имя файла должно быть английскими буквами или цифрами!

[Habr]

s7-200 smart sr60
eprom - 25p10vp

дамп снял расшифровать не могу, подскажите что можно предпринять?
Если нажимаю получить пароль то выдает такой пароль: O:"{аKы
Если нажимаю преобразовать в wld то получаю размер файла = 0

[CoMod]

s7-200 smart sr60

smart это китайский вариант s7-200 и возможно там иероглифы используются для пароля и вааще там всё по другому...
Выкладывай дамп - может автор программы найдёт время на анализ.

[Habr]

dump from eprom S7-200 Smart - need help for decode
Вот дамп который удалось достать: https://mega.nz/#!lrgwgJLK!axx0bHPZRMvi ... 3dnPoz2tKY






Огромная просьба помочь!

[vlad2006gr]

Огромная просьба помочь!

Дай фотографии платы в деталях. Особенно вокруг процессора. Кажется ты не то читал.

[Habr]

ссылку поправил https://mega.nz/#F!V64xVRya!4L3YYVw64rMATcSMIlsPqA

[Habr]

Ура форум починили! Теперь открываются картинки?

[coolmaxuz]

Всем Привет!!!!
У меня тоже такая проблема PLC S7-200 SMART CPU SR40 FW 2.1 стоить пароль
я смотрел в плате также как у Habr микросхема 25p10vp
Пожалуйста помогите найти пароль

[individual56]

Всем привет.
Столкнулся с такой же проблемой Siemens Simatic S7-200 Smart CPU SR60 нужно каким нибудь способом узнать пароль производитель не говорит.
Помогите очень срочно надо

[vlad2006gr]

Столкнулся с такой же проблемой Siemens Simatic S7-200 Smart CPU SR60

Для решения, нужна программа без пароля, ее образ из 25p10 и эта же программа с известным паролем и ее образ.

[CoMod]

Столкнулся с такой же проблемой Siemens Simatic S7-200 Smart CPU SR60

Для решения, нужна программа без пароля, ее образ из 25p10 и эта же программа с известным паролем и ее образ.

Сформулирую иначе - у vlad2006gr не было S7-200 Smart для экспериментов

[hungbka]

I hear about Unlock S7 200smart from this guy
http://www.plcjiemi.com/SMART.htm
Is there any body check?

[vek8]

S7-222 ver2.01, I had to solder the chip for reading the dump,
readed a dump as the simplest Chinese programmer CH341.
Further, according to the instructions ...
Everything Ok

S7-222 ver2.01, для снятия дампа пришлось выпаивать микросхему,
считал дамп простейшим китайским программатором CH341.
Далее по инструкции...
Все получилось.

[zaplatin]

plc4good.org.ua dead

Code: Select all

link dead http://plc4good.org.ua/view_post.php?id=107

[aerol1nepro]

Hello! Has anyone hacked SR60 and similar?

Приветствую! У кого-нибудь получилось взломать SR60 и аналогичные?