[?]: Mitsubishi Q-Series USB password crack

[Suresoft]

The Q-Series PLc password is a little more difficult to find than the previous serial interfaced units as now you have to trace the usb data packets.
The password is read back to the PC and you can find it.
What happens is the numbers are encapsulated by a 9 before it.
Where to find these nines is easy.
look for a whole lot of fffffff's after and then look just before and you will find the answer.
90 91 93 95 04 07 00 06 ff ff ff ff ff ff ff ff.
here you can see the answer is 0135 for password.
Use any USB data sniffer and search through the up data streams.
It took us a while to figure this out so hopefully your life is made that much easier.
Lada cuzzies.Keep it clean or take pictures.

[setmedical]

There is something I do not understand me. Old Mitsubishi PLCs ACPU series with the COM-LITE32 cracking passwords given as hexadecimal numbers
But this QCPU series PLC's A-a, Z-z ,0 to 9 can be assigned as small or large alphabet. But with the USB sniffing programs such as the example you have posted verify allows only passwords are hexadecimal. The characters other than alphabets and numbers in passwords, this program can not be broken given QCPU...

You've broken with this method is QCPU password?

[setmedical]

If you would like to help in this regard!!! Thank you....

[leaf9345]

Thanks
any body have interest?

[henk]

Yes, of course.

[VINESH KUMAR]

We are using q series CPU.I want to upload project but it is password protected.Can anybody help me

[henk]

I did not understand. Is your PLC protect, or is the software protect?
GX IEC Developer or GX Developer?
Library or Function Blocks?

For GX IEC Developer (Library and Function Blocks)I can help you, but not with PLC.

Henk

[henk]

Of course,

I will translate my document into english and post it here next week.

Henk

[setmedical]

Not usb cracking. Use serial port. Port analizer good.

[Oldman]

not all models have RS232

[antonio_dr]

What about password breaking for Q-series Mitsubishi PLC?
I have password protected projects for Q-series Mitsubishi PLC. I need to change something in that projects, but I cann't. All Function Block are blocked and unvisible for me, but POU - read only.
Maybe somebody know how to break the password or bypass it?
For POU security level - 3
For FB - 7

[Oldman]

http://forums.mrplc.com/index.php?showforum=15 тут ещё спроси.а на профильном форуме вам не помогли ? http://www.melsec.ru/forum/index.php?showtopic=4744

[antonio_dr]

К сожалению на профильном форуме ничего узнать не удалось. Пока пытаюсь ковырять сам. Пробовал сравнивать одинаковые проекты (один с паролем, другой без) при помощи TextPad'a. Пока разобраться куда именно пишется пароль не удалось. Но проекты, после введения в один из них пароля, стали отличаться.

[Oldman]

если стоит многоуровневый пароль (разные уровни на FB и сам проект) то открыть проект не получится.впрочем если появятся результаты озвучивайте,поучимся у вас.

[Serex]

Спасибо автору за пост.
Повторил описанную процедуру и разблокировал 1 блок на контроллере.
Последовательность действий такая
1. Открываем окно чтения блоков программы из CPU, выбираем нужный, запароленный блок.
2. Запускаем сниффер
3. Нажимаем "Execute" (выполнить чтение) и видим окно с запросом пароля.
4. Ищем в логе снифера много ff ff ff ff ff ff ff ff. 4 байта перед ними нам не интересны, следующие 4 байта - это пароль. Например: наш пароль 1234, то ищем 91 92 93 94 04 07 00 00 ff ff ff ff ff ff ff ff ff.
5. Вводим пароль, читаем блок, удаляем пароль.


Скриншот сниффера по ссылке
_https://yadi.sk/i/HR_GMf7L3UmP3F

[andreyit]

Кто-то еще смог расшифровать qcpu? А то подключаясь через com к q00cpu, максимум что нашлось это очень похожее, но не то, конечно.
__https://i107.fastpic.ru/big/2019/0110/25/acc020107f6dab7e60184339da75b825.png

[Klech]

Сегодня получилось разблокировать Q0контроллер. Оказалось там пароль из букв. Позже распишу алгоритм.Могу точно сказать что 4 байта перед много FFFFFFFFFFF это он, но непонятно по какой таблице символов она кодируется.

[Klech]

Итак, рассказываю алгоритм, если на контроллерее стоит код из 4 символов.
На скриншоте выше мы видим последовательность 4 байтов перед много FFFFFFFFF... Последовательность представляет собой C8 D8 D8 D1. Младшие 4 бита в каждом байте остаются неизменные. От старших четырех бит надо вычесть 6 и мы получим код hex символа по таблице ascii. Например, в моем контроллере была последовательность битов C1 C2 C3 91, вычитая из старших битов 6 я получил последовательность 61 62 63 31, Что по таблице ascii соответствует символам abc1. Код подошел к контроллеру!

[ZeroID]

Может кто поможет? Есть контроллер Mitsubishi L02CPU-P, надо выгрузить проект, стоит пароль. Судя по всему, принцип взлома пароля серии L аналогичен с Q-серией - я проделал все процедуры как расписано здесь, перехватил обмен. В обмене нахожу много FFFFFFFFF, а перед ними вижу EE EE EE EE 04 07 02 C0 00, что очень похоже на указанные здесь последовательности, и пароль по идее зашифрован в EE EE EE EE. Пытался ввести разные варианты пароля, такие как: в разных таблицах кодировок это может быть i i i i или четыре буквы эпсилон (238) или четыре русской буквы о (043E) или если вычитать по 6 то получаем 8E 8E 8E 8E а это Z Z Z Z - но ничего не подошло. Контроллер не ломается Пробовал вообще все буквы и символы вводить, которые есть на клавиатуре, по четыре одинаковых символа - но безуспешно. Может у кого возникнут какие идеи?

https://i121.fastpic.org/big/2023/0409/ ... 9ff807.png

[mrmitsubishi]

Hello
I did and managed to find the password
Grateful
that was perfect
https://www.rsgroup.ir/