小灰灰搞“机”不易，夹娃娃大神在线教学|XPwn 2018

▲点击上方 雷锋网 关注

文 | 又田

来自雷锋网（leiphone-sz）的报道

又到月底了，信用卡还了吗？工资发了吗？给家里打钱了吗？

没有，没有，没有。

好的，雷锋网这篇文章就是给你提供几个省钱思路，比如吃点霸王餐，或者抓娃娃卖钱，实在不济，黑一下老板的智能门锁，趁他洗澡时候拍下裸照，威胁他发工资。

对不起，以上情景都不太可能实现，但他们的的确确出现在了XPwn的舞台。编辑今天要说的就是 XPwn 上的“真香”议题。

吃东西不花钱的一百种姿势

某个越黑风高之夜，小宅搂着自己的妹子大摇大摆走进一家烧烤店，拍了拍桌子，“给劳资把你们店最贵的东西都上一盘。”

……

然后他被打了出去。

隔了一天，小宅又换了一家烧烤店，这次很谨慎，点单时候不忘眼观六路耳听八方，时不时撇一眼别人的支付页面。

…

然后他又被打了出去。

以上是雷锋网编辑的无聊脑洞，但好奇是真的，日天日地日系统的黑客们搞智能收银系统时候是什么姿势？

据百度安全实验室的小灰灰说，他搞“机”是很不容易的，比如曾经一个人在商场呆了两三天，期间跑遍了里面所有商店测试各家商户所用收银系统，因为要进行测试和验证，免不了还被当成过小偷。最重要的是进去每家店不可能什么都不点，土豆丝小凉菜就成了挡箭牌（这么说来，小灰灰似乎比之前看着丰腴些许…… ）。

不过这些都是有意义的，经过测试他们发现了六款智能收银系统都存在高危漏洞，由于这些系统在APP加固、校验机制、验证逻辑、通信与加密、网络隔离等方面存在隐患，而黑客可以很轻松的通过各种WIFI钥匙连入店家wifi，直接利用这些漏洞达到攻击目的。

在现场，小灰灰展示了其中三款收银系统的攻击过程。

第一款收银机依托强大平台，是超过三百万店长的选择。不过，选择他也可能遭受来者都是客，全部桌都hack的倒霉事件，通过远程攻击，让整排桌号瞬间结单（电视剧中经典场景来了，兄弟们放心吃，今天我买单）。

如果瞬间结单还不够，再加上退菜怎么样？一瓶王老吉，十盘大龙虾，没问题，龙虾上来后远程帮你退菜，结账时候还是一瓶王老吉的钱。

第二款收银机成立时间最早，专注收银系统，是30W+商户的选择。

对这款收银机的攻击可以概括为“步步惊机”，也就是黑客可以控制机器的每一步操作，除了控制支付过程，还可以进行身份克隆。比如只要拿到这台机器的同步密码和管理员密码就可以通过分收银机进行远程控制。

第三个系统不做硬件只做软件，同时这一软件兼容很多硬件系统，比如常见的收银系统，包括Windows、安卓等都默认其安装。而其覆盖的行业也非常广，包括母婴、汽车会所、养生、推拿按摩、舞蹈、瑜伽等。

这意味着什么？

一旦通过漏洞获取了这个收银系统的用户名、密码就可以进行远程登录控制。之后不仅可以扫描APP，也可以扫描云端，登录云端后台即可获取所有数据、帐户管理管理。比如员工管理，可以增加新的员工的帐号和密码。

这些姿势就够了吗？还有一个更骚的。

这种方法适用于所有餐馆，无需对收银系统进行攻击，只要通过漏洞控制热敏打印机，就能欺骗后厨和传菜服务员。这时候不需要点菜就可以了，相当于直接给厨师传了假命令。

太可怕了嘤嘤嘤。

小灰灰倒是很开心，“搞安全是寂寞的，但搞出来却是开心的。”

搞门吧少年

几乎每个黑客大会都会见到“破门者”，这次也不例外。

来自未来安全的胖猴实验室团队的小哥哥们研究了一款门锁（名字和谐），这款门锁应用非常广泛，不论是宾馆、租赁都有他们的身影。

这款门锁只要配合手机APP，大体能实现六种功能，比如说通过手机APP绑定门卡，之后可以通过门卡直接开门，或者设置一个权限密码、时效密码、一次性密码，这些密码也可以直接开门，当然还有必不可少的钥匙。

那么门锁、手机和远处的云端是如何通信的？首先从云端拿到需要下发的命令，通过蓝牙通信下发给门锁，其中移动端所承载的是中转机构的作用。

具体的通信过程实例

举个栗子，这是一个门锁绑定的过程。

首先手机端下发蓝牙命令，获取锁的 lock_key 参数。之后将这个 lock_key 直接上传到云端，云端接到这一参数后，会将当前登陆的帐户以及锁的编码还有 lock_key 一起绑定。如果之后再请求命令会直接通过这些绑定信息计算生产内容。右边的截图下面就是这样的字段，这个字段是直接根据 lock_key 计算出来的。

云端将这个字段下发给移动端之后，移动端会通过蓝牙直接转发给门锁，门锁接收到这个命令之后之后会把自己设置为一个绑定的状态。此时若再有其他手机请求这个 lock_key 的参数就不能再请求到。

与之通讯方式类似的是，当手机控制门锁开门的时候，也会有一个通过lock_key生成的截图中字段。

小哥哥们通过对门锁电路的分析之后发现这款门锁存在三个问题：

首先是门锁与手机进行通信的没有严格的身份认证；

其次，门锁进行固件更新的时候没有较强的校验；

另外，可以通过逆向 APK 以及门锁的固件去破解这个蓝牙通信的加密算法，也就是可以从手机和门锁的蓝牙通信入手直接刷入带有后门的固件。

当漏洞被黑客利用后，智能门锁将形同虚设：黑客利用漏洞将智能门锁的固件变成自己的，他们可以用任意密码打开你的大门。家中的财物可能会不翼而飞，如果在公司，后果更是不堪设想。

特别选题之抓娃娃

事实上，看到这个选题的时候编辑的脑洞是这样的，某大神渗透发现多款抓娃娃APP软件存在漏洞，黑客只需要这样又那样一通就可以轻易获得用户数据，进一步盗了你的支付密码，辛辛苦苦攒下的钱全都没掉。实现从first blood 到 shut down 的绝杀过程。

结果……真的是想多了，人家就是在线传授抓娃娃技巧。请来的还是快手红人抓娃娃达人堂主和爪e玩偶比赛最佳王者解先生。

两位一个讲解一个演示，给围观群众（特别是单身男青年）上了宝贵一课。

首先，必备技能是检漏，说白了娃娃机其实是概率机，有老板设置好的成功抓取概率，等别人“垫币”多了，这时候捡别人剩下的就轻松了。

技术流入门是甩爪，需要分析天车下线速度，就是爪子下落速度如何，这决定你的爪子甩出去以后会左右来回折几次，才能刚好从挡板上方完全滑过，放线速度快可能只需要半折，放线速度慢需要3-4折，这一系列问题都需要透彻分析出结果，才能确定爪子甩到哪一个按下爪键，才能让爪子准确飞跃过挡板，抓到娃娃身上。

当然商家也不蠢，也会在娃娃机设备中加入防甩片，调紧所有线。那么这时候就可以研究其他对策了，比如插标签，插袖子，别爪等等。

这个议题看起来似乎与黑客并无关联，为什么也会出现在黑客大会的舞台？

在XCon&XPwn创始人王英键看来，抓娃娃从一开始和安全研究是一样的。可能因为某一件事情，一个兴趣，甚至是因为一位小姐姐对此产生了兴趣，这是最简单的出发点。而之后努力寻找的技巧，比如甩爪、别爪等对应安全研究中可能就是一个个漏洞。

这何尝不是一种极客精神呢？是对于很多问题不断探索、追究、挖掘的精神。

“我知道这个世界看起来已支离破碎，但这是一个伟大的时代，在你的一生中可以疯狂些，跟随你的好奇心，积极进取，不要放弃你的梦想，世界需要你。”——拉里佩奇

本届“XPwn2018 未来安全探索盛会”由国家信息安全漏洞库（CNNVD）指导，北京未来安全信息技术有限公司主办，蚂蚁金服安全响应中心、百度安全共同支持。

- END -

◆  ◆  ◆

推荐阅读

黑客到底多爱搞酒店

这个黑客搞出了一个看片神器，水印去无踪

黑客组织 Darkhotel 疑与朝鲜有关，借 VBScript 漏洞盯上“人上人”

关于峰会购票信息，点击“阅读原文”了解详情~