又到月底了，信用卡还了吗？工资发了吗？向家里打钱了吗？

没有，没有，没有。

好的，雷锋网这篇文章就是向你提供几个省钱思路，比如吃点霸王餐，或者抓娃娃卖钱，实在不济，黑一下老板的智能门锁，趁他洗澡时候拍下裸照，威胁他发工资。

对不起，以上情景都不太也许实现，但他们的的确确出今年了XPwn的舞台。编辑今日要说的就是 XPwn 上的“真香”议题。

某个越黑风高之夜，小宅搂着自己的妹子大摇大摆走进一家烧烤店，拍了拍桌子，“向劳资把你们店最贵的东西都上一盘。”

……

然后他被打了出去。

隔了一天，小宅又换了一家烧烤店，这次很谨慎，点单时候不忘眼观六路耳听八方，时不时撇一眼别人的付款页面。

……

然后他又被打了出去。

以上是雷锋网编辑的无聊脑洞，但好奇是真的，日天日地日系统的黑客们搞智能收银系统时候是啥子知识？

据度娘安全实验室的小灰灰说，他搞“机”是很不要易的，比如曾经壹个人在商场呆了两三天，期间跑遍了里面全部商店测试各家商户所用收银系统，因为要进行测试与验证，免不了还被当成过小偷。最重要的是进去每家店不也许啥子都不点，土豆丝小凉菜就成了挡箭牌（这么说来，小灰灰似乎比之前看着丰腴些许…… ）。

不过这些都是有意义的，经过测试他们发现了六款智能收银系统都存在高危漏洞，由于这些系统在APP加固、校验机制、验证逻辑、通信和加密、网络隔离等方面存在隐患，而黑客可以很轻松的通过各种WIFI钥匙连入店家wifi，直接利用这些漏洞达到攻击目的。

在现场，小灰灰展示了其中三款收银系统的攻击过程。

第一款收银机依托强大平台，是超过三百万店长的挑选。不过，挑选他也也许遭受来者都是客，所有桌都hack的倒霉事件，通过超距离攻击，让整排桌号瞬间结单（电视剧中典范场景来了，朋友们放心吃，今日我买单）。

如果瞬间结单还不够，再加上退菜好不好？一瓶王老吉，十盘大龙虾，没问题，龙虾上来后超距离帮你退菜，结账时候还是一瓶王老吉的钱。

第二款收银机成立时间最早，专注收银系统，是30W+商户的挑选。

对这款收银机的攻击可以一览为“步步惊机”，也就是黑客可以控制机器的每一步操作，除了控制付款过程，还可以进行身份克隆。比如只要拿到这台机器的同步密码与管理员密码就可以通过分收银机进行超距离控制。

第三个系统不做硬件只做软件，同时这一软件兼容很多硬件系统，比如常见的收银系统，包括Windows、安卓等都默认其安装。而其覆盖的行业也特别广，包括母婴、汽车会所、养生、推拿按摩、舞蹈、瑜伽等。

这意味着啥子？

一旦通过漏洞获得了这个收银系统的用户名、密码就可以进行超距离登录控制。之后不仅可以扫描APP，也可以扫描云端，登录云端后台即可获得全部数据、帐户管理管理。比如员工管理，可以增加新的员工的帐号与密码。

这些知识就够了吗？还有壹个更骚的。

这种方式适用于全部餐馆，无需对收银系统进行攻击，只要通过漏洞控制热敏打印机，就能欺骗后厨与传菜服务员。这时候不需要点菜就可以了，等于于直接向厨师传了假命令。

太可怕了嘤嘤嘤。

小灰灰倒是很开心，“搞安全是寂寞的，但搞出来却是开心的。”

搞门吧少年

几乎每个黑客大会都会见到“破门者”，这次也不例外。

来自未来安全的胖猴实验室团队的小哥哥们研究了一款门锁（名字与谐），这款门锁应用特别广泛，不论是宾馆、租赁都有他们的身影。

这款门锁只要配合手机APP，大体能实现六种功能，比如说通过手机APP绑定门卡，之后可以通过门卡直接开门，或者配置壹个权限密码、时效密码、一次性密码，这些密码也可以直接开门，当然还有必不可少的钥匙。

那么门锁、手机与远处的云端是怎么通信的？首先从云端拿到需要下发的命令，通过蓝牙通信下发向门锁，其中移动端所承载的是中转机构的作用。

具体的通信过程实例

举个栗子，这是壹个门锁绑定的过程。

首先手机端下发蓝牙命令，获得锁的 lock_key 参数。之后将这个 lock_key 直接上传到云端，云端接到这一参数后，会将当前登陆的帐户以及锁的编码还有 lock_key 一起绑定。如果之后再请求命令会直接通过这些绑定信息计算生产内容。右边的截图下面就是这样的字段，这个字段是直接根据 lock_key 计算出来的。

云端将这个字段下发向移动端之后，移动端会通过蓝牙直接转发向门锁，门锁接收到这个命令之后之后会把自己配置为壹个绑定的状态。此时若再有其他手机请求这个 lock_key 的参数就不能再请求到。

和之通讯方法类似的是，当手机控制门锁开门的时候，也会有壹个通过lock_key生成的截图中字段。

小哥哥们通过对门锁电路的解析之后发现这款门锁存在三个问题：

首先是门锁和手机进行通信的没有严格的身份认证；

其次，门锁进行固件升级的时候没有较强的校验；

另外，可以通过逆给 APK 以及门锁的固件去破解这个蓝牙通信的加密算法，也就是可以从手机与门锁的蓝牙通信入手直接刷入带有后门的固件。

当漏洞被黑客利用后，智能门锁将形同虚设：黑客利用漏洞将智能门锁的固件变成自己的，他们可以用任意密码打开你的大门。家中的财物也许会不翼而飞，如果在企业，后果更是不堪设想。

事实上，看到这个选题的时候编辑的脑洞是这样的，某大神渗透发现多款抓娃娃APP软件存在漏洞，黑客只需要这样又那样一通就可以轻易获取用户数据，进一步盗了你的付款密码，辛辛苦苦攒下的钱全都没掉。实现从first blood 到 shut down 的绝杀过程。

结果……真的是想多了，人家就是在线传授抓娃娃诀窍。请来的还是快手红人抓娃娃达人堂主与爪e玩偶比赛完美王者荣耀解先生。

两位壹个讲解壹个示范，向围观群众（非常是单身男青年）上了真贵一课。

首先，必要技能是检漏，说白了娃娃机其实是概率机，有老板配置好的成功抓取概率，等别人“垫币”多了，这时候捡别人剩下的就轻松了。

技术流入门是甩爪，需要解析天车下线速度，就是爪子下落速度怎么，这决定你的爪子甩出去以后会左右来回折几次，才能刚好从挡板上方完全滑过，放线速度快也许只需要半折，放线速度慢需要3-4折，这一系列问题都需要透彻解析出结果，才能确定爪子甩到哪壹个按下爪键，才能让爪子准确飞跃过挡板，抓到娃娃身上。

当然商家也不蠢，也会在娃娃机设备中加入防甩片，调紧全部线。那么这时候就可以研究其他对策了，比如插标签，插袖子，别爪等等。

这个议题看起来似乎和黑客并无关联，为啥子也会出今年黑客大会的舞台？

在XCon&XPwn创始人王英键看来，抓娃娃从一最初与安全研究是一样的。也许因为某一件事情，壹个兴趣，甚至是因为一位小美女对此产生了兴趣，这是最简单的起航点。而之后卖力寻找的诀窍，比如甩爪、别爪等对应安全研究中也许就是壹个个漏洞。

这何尝不是一种极客精神呢？是对于很多问题不断寻觅、追究、挖掘的精神。

“我了解这个世界看起来已支离破碎，但这是壹个伟大的时代，在你的一生中可以疯狂些，跟随你的好奇心，积极进取，不容言败你的梦想，世界需要你。”——拉里佩奇

本届“XPwn2018 未来安全寻觅盛会”由国家信息安全漏洞库（CNNVD）指南，北京未来安全信息技术有限企业主办，蚂蚁金服安全响应中心、度娘安全共同支持。

雷锋网宅客频道（letshome）专注先锋科技，讲述黑客背后的经历。