又到月底了，信用卡還了嗎？工資發(fā)了嗎？給家里打錢了嗎？

沒(méi)有，沒(méi)有，沒(méi)有。

好的，雷鋒網(wǎng)這篇文章就是給你提供幾個(gè)省錢思路，比如吃點(diǎn)霸王餐，或者抓娃娃賣錢，實(shí)在不濟(jì)，黑一下老板的智能門鎖，趁他洗澡時(shí)候拍下裸照，威脅他發(fā)工資。

對(duì)不起，以上情景都不太可能實(shí)現(xiàn)，但他們的的確確出現(xiàn)在了XPwn的舞臺(tái)。編輯今天要說(shuō)的就是 XPwn 上的“真香”議題。

吃東西不花錢的一百種姿勢(shì)

某個(gè)越黑風(fēng)高之夜，小宅摟著自己的妹子大搖大擺走進(jìn)一家燒烤店，拍了拍桌子，“給勞資把你們店最貴的東西都上一盤。”

……

然后他被打了出去。

隔了一天，小宅又換了一家燒烤店，這次很謹(jǐn)慎，點(diǎn)單時(shí)候不忘眼觀六路耳聽(tīng)八方，時(shí)不時(shí)撇一眼別人的支付頁(yè)面。

……

然后他又被打了出去。

以上是雷鋒網(wǎng)編輯的無(wú)聊腦洞，但好奇是真的，日天日地日系統(tǒng)的黑客們搞智能收銀系統(tǒng)時(shí)候是什么姿勢(shì)？

據(jù)百度安全實(shí)驗(yàn)室的小灰灰說(shuō)，他搞“機(jī)”是很不容易的，比如曾經(jīng)一個(gè)人在商場(chǎng)呆了兩三天，期間跑遍了里面所有商店測(cè)試各家商戶所用收銀系統(tǒng)，因?yàn)橐M(jìn)行測(cè)試和驗(yàn)證，免不了還被當(dāng)成過(guò)小偷。最重要的是進(jìn)去每家店不可能什么都不點(diǎn)，土豆絲小涼菜就成了擋箭牌（這么說(shuō)來(lái)，小灰灰似乎比之前看著豐腴些許…… ）。

不過(guò)這些都是有意義的，經(jīng)過(guò)測(cè)試他們發(fā)現(xiàn)了六款智能收銀系統(tǒng)都存在高危漏洞，由于這些系統(tǒng)在APP加固、校驗(yàn)機(jī)制、驗(yàn)證邏輯、通信與加密、網(wǎng)絡(luò)隔離等方面存在隱患，而黑客可以很輕松的通過(guò)各種WIFI鑰匙連入店家wifi，直接利用這些漏洞達(dá)到攻擊目的。

在現(xiàn)場(chǎng)，小灰灰展示了其中三款收銀系統(tǒng)的攻擊過(guò)程。

第一款收銀機(jī)依托強(qiáng)大平臺(tái)，是超過(guò)三百萬(wàn)店長(zhǎng)的選擇。不過(guò)，選擇他也可能遭受來(lái)者都是客，全部桌都hack的倒霉事件，通過(guò)遠(yuǎn)程攻擊，讓整排桌號(hào)瞬間結(jié)單（電視劇中經(jīng)典場(chǎng)景來(lái)了，兄弟們放心吃，今天我買單）。

如果瞬間結(jié)單還不夠，再加上退菜怎么樣？一瓶王老吉，十盤大龍蝦，沒(méi)問(wèn)題，龍蝦上來(lái)后遠(yuǎn)程幫你退菜，結(jié)賬時(shí)候還是一瓶王老吉的錢。

第二款收銀機(jī)成立時(shí)間最早，專注收銀系統(tǒng)，是30W+商戶的選擇。

對(duì)這款收銀機(jī)的攻擊可以概括為“步步驚機(jī)”，也就是黑客可以控制機(jī)器的每一步操作，除了控制支付過(guò)程，還可以進(jìn)行身份克隆。比如只要拿到這臺(tái)機(jī)器的同步密碼和管理員密碼就可以通過(guò)分收銀機(jī)進(jìn)行遠(yuǎn)程控制。

第三個(gè)系統(tǒng)不做硬件只做軟件，同時(shí)這一軟件兼容很多硬件系統(tǒng)，比如常見(jiàn)的收銀系統(tǒng)，包括Windows、安卓等都默認(rèn)其安裝。而其覆蓋的行業(yè)也非常廣，包括母嬰、汽車會(huì)所、養(yǎng)生、推拿按摩、舞蹈、瑜伽等。

這意味著什么？

一旦通過(guò)漏洞獲取了這個(gè)收銀系統(tǒng)的用戶名、密碼就可以進(jìn)行遠(yuǎn)程登錄控制。之后不僅可以掃描APP，也可以掃描云端，登錄云端后臺(tái)即可獲取所有數(shù)據(jù)、帳戶管理管理。比如員工管理，可以增加新的員工的帳號(hào)和密碼。

這些姿勢(shì)就夠了嗎？還有一個(gè)更騷的。

這種方法適用于所有餐館，無(wú)需對(duì)收銀系統(tǒng)進(jìn)行攻擊，只要通過(guò)漏洞控制熱敏打印機(jī)，就能欺騙后廚和傳菜服務(wù)員。這時(shí)候不需要點(diǎn)菜就可以了，相當(dāng)于直接給廚師傳了假命令。

太可怕了嚶嚶嚶。

小灰灰倒是很開(kāi)心，“搞安全是寂寞的，但搞出來(lái)卻是開(kāi)心的。”

搞門吧少年

幾乎每個(gè)黑客大會(huì)都會(huì)見(jiàn)到“破門者”，這次也不例外。

來(lái)自未來(lái)安全的胖猴實(shí)驗(yàn)室團(tuán)隊(duì)的小哥哥們研究了一款門鎖（名字和諧），這款門鎖應(yīng)用非常廣泛，不論是賓館、租賃都有他們的身影。

這款門鎖只要配合手機(jī)APP，大體能實(shí)現(xiàn)六種功能，比如說(shuō)通過(guò)手機(jī)APP綁定門卡，之后可以通過(guò)門卡直接開(kāi)門，或者設(shè)置一個(gè)權(quán)限密碼、時(shí)效密碼、一次性密碼，這些密碼也可以直接開(kāi)門，當(dāng)然還有必不可少的鑰匙。

那么門鎖、手機(jī)和遠(yuǎn)處的云端是如何通信的？首先從云端拿到需要下發(fā)的命令，通過(guò)藍(lán)牙通信下發(fā)給門鎖，其中移動(dòng)端所承載的是中轉(zhuǎn)機(jī)構(gòu)的作用。

具體的通信過(guò)程實(shí)例

舉個(gè)栗子，這是一個(gè)門鎖綁定的過(guò)程。

首先手機(jī)端下發(fā)藍(lán)牙命令，獲取鎖的 lock_key 參數(shù)。之后將這個(gè) lock_key 直接上傳到云端，云端接到這一參數(shù)后，會(huì)將當(dāng)前登陸的帳戶以及鎖的編碼還有 lock_key 一起綁定。如果之后再請(qǐng)求命令會(huì)直接通過(guò)這些綁定信息計(jì)算生產(chǎn)內(nèi)容。右邊的截圖下面就是這樣的字段，這個(gè)字段是直接根據(jù) lock_key 計(jì)算出來(lái)的。

云端將這個(gè)字段下發(fā)給移動(dòng)端之后，移動(dòng)端會(huì)通過(guò)藍(lán)牙直接轉(zhuǎn)發(fā)給門鎖，門鎖接收到這個(gè)命令之后之后會(huì)把自己設(shè)置為一個(gè)綁定的狀態(tài)。此時(shí)若再有其他手機(jī)請(qǐng)求這個(gè) lock_key 的參數(shù)就不能再請(qǐng)求到。

與之通訊方式類似的是，當(dāng)手機(jī)控制門鎖開(kāi)門的時(shí)候，也會(huì)有一個(gè)通過(guò)lock_key生成的截圖中字段。

小哥哥們通過(guò)對(duì)門鎖電路的分析之后發(fā)現(xiàn)這款門鎖存在三個(gè)問(wèn)題：

首先是門鎖與手機(jī)進(jìn)行通信的沒(méi)有嚴(yán)格的身份認(rèn)證；

其次，門鎖進(jìn)行固件更新的時(shí)候沒(méi)有較強(qiáng)的校驗(yàn)；

另外，可以通過(guò)逆向 APK 以及門鎖的固件去破解這個(gè)藍(lán)牙通信的加密算法，也就是可以從手機(jī)和門鎖的藍(lán)牙通信入手直接刷入帶有后門的固件。

當(dāng)漏洞被黑客利用后，智能門鎖將形同虛設(shè)：黑客利用漏洞將智能門鎖的固件變成自己的，他們可以用任意密碼打開(kāi)你的大門。家中的財(cái)物可能會(huì)不翼而飛，如果在公司，后果更是不堪設(shè)想。

特別選題之抓娃娃

事實(shí)上，看到這個(gè)選題的時(shí)候編輯的腦洞是這樣的，某大神滲透發(fā)現(xiàn)多款抓娃娃APP軟件存在漏洞，黑客只需要這樣又那樣一通就可以輕易獲得用戶數(shù)據(jù)，進(jìn)一步盜了你的支付密碼，辛辛苦苦攢下的錢全都沒(méi)掉。實(shí)現(xiàn)從first blood 到 shut down 的絕殺過(guò)程。

結(jié)果……真的是想多了，人家就是在線傳授抓娃娃技巧。請(qǐng)來(lái)的還是快手紅人抓娃娃達(dá)人堂主和爪e玩偶比賽最佳王者解先生。

兩位一個(gè)講解一個(gè)演示，給圍觀群眾（特別是單身男青年）上了寶貴一課。

首先，必備技能是檢漏，說(shuō)白了娃娃機(jī)其實(shí)是概率機(jī)，有老板設(shè)置好的成功抓取概率，等別人“墊幣”多了，這時(shí)候撿別人剩下的就輕松了。

技術(shù)流入門是甩爪，需要分析天車下線速度，就是爪子下落速度如何，這決定你的爪子甩出去以后會(huì)左右來(lái)回折幾次，才能剛好從擋板上方完全滑過(guò)，放線速度快可能只需要半折，放線速度慢需要3-4折，這一系列問(wèn)題都需要透徹分析出結(jié)果，才能確定爪子甩到哪一個(gè)按下爪鍵，才能讓爪子準(zhǔn)確飛躍過(guò)擋板，抓到娃娃身上。

當(dāng)然商家也不蠢，也會(huì)在娃娃機(jī)設(shè)備中加入防甩片，調(diào)緊所有線。那么這時(shí)候就可以研究其他對(duì)策了，比如插標(biāo)簽，插袖子，別爪等等。

這個(gè)議題看起來(lái)似乎與黑客并無(wú)關(guān)聯(lián)，為什么也會(huì)出現(xiàn)在黑客大會(huì)的舞臺(tái)？

在XCon&XPwn創(chuàng)始人王英鍵看來(lái)，抓娃娃從一開(kāi)始和安全研究是一樣的。可能因?yàn)槟骋患虑?，一個(gè)興趣，甚至是因?yàn)橐晃恍〗憬銓?duì)此產(chǎn)生了興趣，這是最簡(jiǎn)單的出發(fā)點(diǎn)。而之后努力尋找的技巧，比如甩爪、別爪等對(duì)應(yīng)安全研究中可能就是一個(gè)個(gè)漏洞。

這何嘗不是一種極客精神呢？是對(duì)于很多問(wèn)題不斷探索、追究、挖掘的精神。

“我知道這個(gè)世界看起來(lái)已支離破碎，但這是一個(gè)偉大的時(shí)代，在你的一生中可以瘋狂些，跟隨你的好奇心，積極進(jìn)取，不要放棄你的夢(mèng)想，世界需要你。”——拉里佩奇

本屆“XPwn2018 未來(lái)安全探索盛會(huì)”由國(guó)家信息安全漏洞庫(kù)（CNNVD）指導(dǎo)，北京未來(lái)安全信息技術(shù)有限公司主辦，螞蟻金服安全響應(yīng)中心、百度安全共同支持。

雷鋒網(wǎng)宅客頻道（letshome）專注先鋒科技，講述黑客背后的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。