小宅被鬧鐘吵醒時(shí)候四周一片昏暗，拉開窗簾一瞧，原來外面下了雨，怪不得天陰成這樣。他昨晚看世界杯四點(diǎn)才睡，提著眼皮劃開手機(jī)看到工作群有同事抱怨地鐵某一站在檢修，有吐槽等了半小時(shí)公交，還有說出去一分鐘已經(jīng)濕身的。

真情實(shí)感的不想上班，但遲到絕對會被扣工資，沒有什么能阻礙勞動人民的腳步，于是小宅掏出手機(jī)進(jìn)行了一系列神秘操作，成功打卡，繼續(xù)睡了過去……

以上情形純屬虛構(gòu)（畢竟雷鋒網(wǎng)編輯十分熱愛工作），但素材來源卻是最近認(rèn)識的白帽子寒劍。

當(dāng)白帽子遇上打卡器，技術(shù)解救一切

認(rèn)識寒劍是在一個(gè)技術(shù)群里（不要問我為什么有那么多群，社交廣泛）。當(dāng)時(shí)是早上九點(diǎn)，大家正在討論如何獲得全勤獎，聊著聊著就變味了……

群友甲：某釘定位有破解的嗎？

群友乙：等我到公司給你發(fā)一個(gè)，你敢裝就可以。

群友丙：直接發(fā)馬就好

群友丁：可能就是想套路你們的馬

……

寒劍就是這幾位之一，我一時(shí)好奇，加了他的好友。

問到破解打卡器這件事，寒劍來了興趣，“從大學(xué)開始我就研究滲透破解工作，這都十年了。”

據(jù)寒劍說，最開始公司考勤主要采用門禁打卡，這種方式特別容易被破解。還記得一年前被抓的某80后海歸男子網(wǎng)購材料自制克隆公交卡“城市一卡通”10余張，不僅“造福”自己還“造?！奔胰?，到各個(gè)可以刷公交卡結(jié)賬的地方進(jìn)行消費(fèi)這事嗎？無一次正常充卡記錄，兩年刷卡消費(fèi)16萬余元，圍觀群眾當(dāng)時(shí)的表情都是陳獨(dú)秀，請坐。

不過這種套路在白帽子眼里so easy，說白了就是復(fù)制原卡數(shù)據(jù)到空卡里，然后派發(fā)給同事，遇上遲到或其他狀況可以依靠同事輕易幫忙代打。

“這種是最基礎(chǔ)的，這種操作用在學(xué)校復(fù)制門禁卡和飯卡輕而易舉。你別這么看我，我沒干過?！?br/>

好的。

刷卡時(shí)代過去后，各大企業(yè)紛紛開始采用指紋打卡。

不要小看勞動人民的智慧，人家開始自制指紋膜了，比如在膠帶紙上印指紋，借助鋁片印指紋，總之辦法太多了。不過，自制畢竟粗糙，不一定能騙得過考勤機(jī)，沒關(guān)系，還記得大明湖畔萬能的某寶嗎？

買啊。

雷鋒網(wǎng)宅客頻道曾寫過一篇文章解密白帽子如何破解指紋、虹膜、人臉識別裝置的（點(diǎn)這里），說白了只要能采集到指紋的最原始二維圖像，那么破解就成功了一大半，剩下的工作就是找載體去實(shí)現(xiàn)凹凸不平的紋路，重現(xiàn)這個(gè)圖像，騙過傳感器。

哦對了，除了指紋打卡，還有一些公司采用了臉部識別打卡。

“其實(shí)沒什么用，我試驗(yàn)過用照片就可以刷過去。當(dāng)然，打印的照片并非普通照片，而是3D照片?！?/p>

人臉識別依靠的是人臉的一些特殊部位的特征點(diǎn)，只要基本比例和特征點(diǎn)的位置正確，就有可能騙過識別模塊。不同的相機(jī)會在拍攝中拉伸面部，但某款電腦設(shè)備的拍攝成片像素不高，比例精準(zhǔn)，非常適合拍攝面部照片。就算不同設(shè)備拍攝的面部有拉伸，依然可以用 PS 工具調(diào)整。

據(jù)寒劍反饋說，市面上大部分打卡機(jī)臉部識別系統(tǒng)并沒有手機(jī)那么完善，想要騙過去更是輕而易舉。不過想讓同事代打可能不太容易，畢竟誰也不想隨身揣著另一個(gè)人照片。（如果丑就更……）

而到現(xiàn)在，多數(shù)公司都換成了手機(jī)APP打卡軟件，主要靠定位打卡，比如某釘。

于是小哥哥們把腦洞開在修改打卡時(shí)間上。

購買了使用一年的殺毒軟件，你什么都不做它會在一年后到期不能使用，但如果你進(jìn)入系統(tǒng)將時(shí)間修改到一年前，就可以接著使用。

不過這么做的前提是軟件讀取的是本地時(shí)間，畢竟數(shù)據(jù)都存儲在本地。然鵝，目前多數(shù)軟件讀取的是服務(wù)器時(shí)間，和本地時(shí)間沒啥關(guān)系，等于遲到依靠修改時(shí)間想拿全勤獎是不太可能的了。

沒關(guān)系，還有定位可以玩。

破解主要靠的是GPS欺騙，說白了就是模擬定位。無論是第三方打卡應(yīng)用還是微信定位打卡或者手機(jī)地圖定位，都由應(yīng)用生成GPS模塊，這個(gè)模塊會反饋給對方一個(gè)正維度，也就是地址。此時(shí)可以通過中間人的方式，在發(fā)起請求時(shí)候反饋過去假的地址就大功告成，畢竟應(yīng)用是不會驗(yàn)證這個(gè)地址的真假。

安卓手機(jī)調(diào)試模式中有位置模擬信息這塊，這就相當(dāng)于調(diào)試程序已經(jīng)擁有權(quán)限，就可以把假的GPS地址反饋給用戶。蘋果道理一樣，只需要有root權(quán)限。

巴特，包括某釘?shù)慕诟?，需要同時(shí)獲取兩個(gè)GPS和AGPS（基站定位）。這樣，只要是基站信息跟公司相差太遠(yuǎn)，就算是修改了GPS定位也沒有用。

但熱愛研究的技術(shù)人員還是不放過任何一絲破解方式，知乎上某小哥就以某釘為例演示了自己的操作。

1. 把釘釘APP中的位置權(quán)限取消，如果你實(shí)在找不到可以重新安裝一遍，6.0以下的手機(jī)在安裝完成后可以修改，6.0以上是動態(tài)添加的，在動態(tài)添加的時(shí)候選擇否就可以（位置服務(wù)屬于敏感權(quán)限）

2. 在Xposed框架中選擇模擬位置模塊，重啟手機(jī)，打開模擬位置，找到釘釘，進(jìn)去后把GPS模擬和基站模擬開關(guān)打開

3. 點(diǎn)擊Toolbar右上角那個(gè)四個(gè)小方塊的Button

4. 此時(shí)要確保本人和手機(jī)在你自己公司的附近，點(diǎn)擊“當(dāng)前基站信息”，此時(shí)，下面的輸入框中填入當(dāng)前的基站信息。（基站類型也就是手機(jī)的網(wǎng)絡(luò)制式最好使用GSM，像WCDMA是只有聯(lián)通才支持的，如果apn中的數(shù)據(jù)有沖突的話會很麻煩的）

5. 使用地圖標(biāo)出當(dāng)前的GPS位置點(diǎn)擊更新，大功告成！

“或者不用那么麻煩，內(nèi)部修改不方便可以通過外部欺騙，只需要一個(gè)小硬件?！焙畡Ω嬖V雷鋒網(wǎng)。

此處可以舉例無人機(jī)的欺騙。

寫在最后

說了這么多，白帽子們會經(jīng)常這么操作嗎？

“當(dāng)然不會了，太忙了?！?/p>

用寒劍的話說，世上本沒有什么完美的產(chǎn)品，打卡系統(tǒng)永遠(yuǎn)需要不斷改進(jìn)，而推動其改進(jìn)的正是這種攻防對抗，思想博弈。

“我對破解打卡系統(tǒng)只不過是個(gè)人興趣，在真正工作中幾乎不怎么會用到，當(dāng)然，也有偶爾?！?/p>

最后，明天周五，還要早起，各位加油。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。