又到月底了，信用卡還了嗎？工資發(fā)了嗎？給家里打錢了嗎？

沒有，沒有，沒有。

好的，雷鋒網(wǎng)這篇文章就是給你提供幾個省錢思路，比如吃點霸王餐，或者抓娃娃賣錢，實在不濟，黑一下老板的智能門鎖，趁他洗澡時候拍下裸照，威脅他發(fā)工資。

對不起，以上情景都不太可能實現(xiàn)，但他們的的確確出現(xiàn)在了XPwn的舞臺。編輯今天要說的就是 XPwn 上的“真香”議題。

吃東西不花錢的一百種姿勢

某個越黑風高之夜，小宅摟著自己的妹子大搖大擺走進一家燒烤店，拍了拍桌子，“給勞資把你們店最貴的東西都上一盤?！?/p>

……

然后他被打了出去。

隔了一天，小宅又換了一家燒烤店，這次很謹慎，點單時候不忘眼觀六路耳聽八方，時不時撇一眼別人的支付頁面。

……

然后他又被打了出去。

以上是雷鋒網(wǎng)編輯的無聊腦洞，但好奇是真的，日天日地日系統(tǒng)的黑客們搞智能收銀系統(tǒng)時候是什么姿勢？

據(jù)百度安全實驗室的小灰灰說，他搞“機”是很不容易的，比如曾經(jīng)一個人在商場呆了兩三天，期間跑遍了里面所有商店測試各家商戶所用收銀系統(tǒng)，因為要進行測試和驗證，免不了還被當成過小偷。最重要的是進去每家店不可能什么都不點，土豆絲小涼菜就成了擋箭牌（這么說來，小灰灰似乎比之前看著豐腴些許…… ）。

不過這些都是有意義的，經(jīng)過測試他們發(fā)現(xiàn)了六款智能收銀系統(tǒng)都存在高危漏洞，由于這些系統(tǒng)在APP加固、校驗機制、驗證邏輯、通信與加密、網(wǎng)絡隔離等方面存在隱患，而黑客可以很輕松的通過各種WIFI鑰匙連入店家wifi，直接利用這些漏洞達到攻擊目的。

在現(xiàn)場，小灰灰展示了其中三款收銀系統(tǒng)的攻擊過程。

第一款收銀機依托強大平臺，是超過三百萬店長的選擇。不過，選擇他也可能遭受來者都是客，全部桌都hack的倒霉事件，通過遠程攻擊，讓整排桌號瞬間結單（電視劇中經(jīng)典場景來了，兄弟們放心吃，今天我買單）。

如果瞬間結單還不夠，再加上退菜怎么樣？一瓶王老吉，十盤大龍蝦，沒問題，龍蝦上來后遠程幫你退菜，結賬時候還是一瓶王老吉的錢。

第二款收銀機成立時間最早，專注收銀系統(tǒng)，是30W+商戶的選擇。

對這款收銀機的攻擊可以概括為“步步驚機”，也就是黑客可以控制機器的每一步操作，除了控制支付過程，還可以進行身份克隆。比如只要拿到這臺機器的同步密碼和管理員密碼就可以通過分收銀機進行遠程控制。

第三個系統(tǒng)不做硬件只做軟件，同時這一軟件兼容很多硬件系統(tǒng)，比如常見的收銀系統(tǒng)，包括Windows、安卓等都默認其安裝。而其覆蓋的行業(yè)也非常廣，包括母嬰、汽車會所、養(yǎng)生、推拿按摩、舞蹈、瑜伽等。

這意味著什么？

一旦通過漏洞獲取了這個收銀系統(tǒng)的用戶名、密碼就可以進行遠程登錄控制。之后不僅可以掃描APP，也可以掃描云端，登錄云端后臺即可獲取所有數(shù)據(jù)、帳戶管理管理。比如員工管理，可以增加新的員工的帳號和密碼。

這些姿勢就夠了嗎？還有一個更騷的。

這種方法適用于所有餐館，無需對收銀系統(tǒng)進行攻擊，只要通過漏洞控制熱敏打印機，就能欺騙后廚和傳菜服務員。這時候不需要點菜就可以了，相當于直接給廚師傳了假命令。

太可怕了嚶嚶嚶。

小灰灰倒是很開心，“搞安全是寂寞的，但搞出來卻是開心的。”

搞門吧少年

幾乎每個黑客大會都會見到“破門者”，這次也不例外。

來自未來安全的胖猴實驗室團隊的小哥哥們研究了一款門鎖（名字和諧），這款門鎖應用非常廣泛，不論是賓館、租賃都有他們的身影。

這款門鎖只要配合手機APP，大體能實現(xiàn)六種功能，比如說通過手機APP綁定門卡，之后可以通過門卡直接開門，或者設置一個權限密碼、時效密碼、一次性密碼，這些密碼也可以直接開門，當然還有必不可少的鑰匙。

那么門鎖、手機和遠處的云端是如何通信的？首先從云端拿到需要下發(fā)的命令，通過藍牙通信下發(fā)給門鎖，其中移動端所承載的是中轉(zhuǎn)機構的作用。

具體的通信過程實例

舉個栗子，這是一個門鎖綁定的過程。

首先手機端下發(fā)藍牙命令，獲取鎖的 lock_key 參數(shù)。之后將這個 lock_key 直接上傳到云端，云端接到這一參數(shù)后，會將當前登陸的帳戶以及鎖的編碼還有 lock_key 一起綁定。如果之后再請求命令會直接通過這些綁定信息計算生產(chǎn)內(nèi)容。右邊的截圖下面就是這樣的字段，這個字段是直接根據(jù) lock_key 計算出來的。

云端將這個字段下發(fā)給移動端之后，移動端會通過藍牙直接轉(zhuǎn)發(fā)給門鎖，門鎖接收到這個命令之后之后會把自己設置為一個綁定的狀態(tài)。此時若再有其他手機請求這個 lock_key 的參數(shù)就不能再請求到。

與之通訊方式類似的是，當手機控制門鎖開門的時候，也會有一個通過lock_key生成的截圖中字段。

小哥哥們通過對門鎖電路的分析之后發(fā)現(xiàn)這款門鎖存在三個問題：

首先是門鎖與手機進行通信的沒有嚴格的身份認證；

其次，門鎖進行固件更新的時候沒有較強的校驗；

另外，可以通過逆向 APK 以及門鎖的固件去破解這個藍牙通信的加密算法，也就是可以從手機和門鎖的藍牙通信入手直接刷入帶有后門的固件。

當漏洞被黑客利用后，智能門鎖將形同虛設：黑客利用漏洞將智能門鎖的固件變成自己的，他們可以用任意密碼打開你的大門。家中的財物可能會不翼而飛，如果在公司，后果更是不堪設想。

特別選題之抓娃娃

事實上，看到這個選題的時候編輯的腦洞是這樣的，某大神滲透發(fā)現(xiàn)多款抓娃娃APP軟件存在漏洞，黑客只需要這樣又那樣一通就可以輕易獲得用戶數(shù)據(jù)，進一步盜了你的支付密碼，辛辛苦苦攢下的錢全都沒掉。實現(xiàn)從first blood 到 shut down 的絕殺過程。

結果……真的是想多了，人家就是在線傳授抓娃娃技巧。請來的還是快手紅人抓娃娃達人堂主和爪e玩偶比賽最佳王者解先生。

兩位一個講解一個演示，給圍觀群眾（特別是單身男青年）上了寶貴一課。

首先，必備技能是檢漏，說白了娃娃機其實是概率機，有老板設置好的成功抓取概率，等別人“墊幣”多了，這時候撿別人剩下的就輕松了。

技術流入門是甩爪，需要分析天車下線速度，就是爪子下落速度如何，這決定你的爪子甩出去以后會左右來回折幾次，才能剛好從擋板上方完全滑過，放線速度快可能只需要半折，放線速度慢需要3-4折，這一系列問題都需要透徹分析出結果，才能確定爪子甩到哪一個按下爪鍵，才能讓爪子準確飛躍過擋板，抓到娃娃身上。

當然商家也不蠢，也會在娃娃機設備中加入防甩片，調(diào)緊所有線。那么這時候就可以研究其他對策了，比如插標簽，插袖子，別爪等等。

這個議題看起來似乎與黑客并無關聯(lián)，為什么也會出現(xiàn)在黑客大會的舞臺？

在XCon&XPwn創(chuàng)始人王英鍵看來，抓娃娃從一開始和安全研究是一樣的?？赡芤驗槟骋患虑?，一個興趣，甚至是因為一位小姐姐對此產(chǎn)生了興趣，這是最簡單的出發(fā)點。而之后努力尋找的技巧，比如甩爪、別爪等對應安全研究中可能就是一個個漏洞。

這何嘗不是一種極客精神呢？是對于很多問題不斷探索、追究、挖掘的精神。

“我知道這個世界看起來已支離破碎，但這是一個偉大的時代，在你的一生中可以瘋狂些，跟隨你的好奇心，積極進取，不要放棄你的夢想，世界需要你?！薄锱迤?/strong>

本屆“XPwn2018 未來安全探索盛會”由國家信息安全漏洞庫（CNNVD）指導，北京未來安全信息技術有限公司主辦，螞蟻金服安全響應中心、百度安全共同支持。

雷鋒網(wǎng)宅客頻道（letshome）專注先鋒科技，講述黑客背后的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。