聽說世界上只有百分之3的人關注Jayson,很幸運你是其中一位
聲明:本文僅限技術討論,嚴禁用於任何非法用途
毫無疑問,自動售貨機是非常受歡迎的東西,我們總會從中購買獲取一些小零食。早幾年前,自動售貨機只接受離線的硬幣支付,之後,也慢慢採用了普及的NFC技術功能。如果我說起“COGES”售貨機器 (英國售貨機器廠商),我想肯定會勾起很多人的美好時光回憶。時光輾轉,一不留神,有些事情就發生了根本性的變化,現如今,這已經是一個被網絡萬物互聯的時代了。今天,我就來和大家分享一個,我是如何黑掉一臺自動售貨機,反覆實現充值和購買售貨機中商品的事例。
事情起因
有一天,我厭煩了深入簡出的無聊生活,打算回老家曬曬太陽休息休息,臨走前,我到了學校拜訪一個大學教授。穿過走廊,老師提議,我們去喝杯咖啡吧,於是,我們來到了自動售貨機旁。
我說:我來吧,我有硬幣。
老師:等等,我可以用手機APP來支付,這樣會便宜點。
可以看到,這是一臺Argenta自動售貨機,其APP支付方式是基於藍牙和NFC功能的,啊,虛擬錢包就是好啊!
此時,我心裡閃過的念頭 – 我能把它黑掉嗎???
白帽心聲:沒有賞金就當做是一種鼓勵吧。
灰帽心聲:就當做練練手吧。
黑帽心聲:來吧,夥計,我們去收拾一下那個東西,這樣就很牛了!
於是乎,我就決定改天就開黑。
技術分析
某天,我把我的安卓手機設置開啟了USB調試模式,然後從應用商店中下載了自動售貨機APP,並把原始APP的apk文件轉儲到筆記本電腦中,用adb去調試分析:
# adb pull /data/app/com.sitael.vending-1/base.apk ./Argenta.apk
用apktool對它進行反編譯:
# apktool d ./Argenta.apk ./Argenta
再用 jadx提取出其中的java源文件:
# jadx ./Argenta.apk
AndroidManifest.xml清單文件是每個Android程序中必須的文件,它是整個Android程序的全局描述文件,除了能聲明程序中的Activities,Content Providers,Services,和Intent Receivers,還能指定應用的名稱、使用的圖標、包含的組件以及permissions和instrumentation(安全控制和測試)。這裡,一開始,需要把AndroidManifest.xml文件中的調試屬性更改為ture,之後才可在手機上進行調試,也就是往application
接下來, 重建apk文件:
# apktool b ./Argenta
然後用工具keytool來創建一個新的密鑰:
# keytool -genkey -v -keystore Argenta.keystore -alias Argenta -keyalg RSA -keysize 2048 -validity 10000
接著,使用該創建密鑰,用jarsigner來對整個apk文件進行簽名:
# jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore Argenta.keystore Argenta.apk Argenta
再用工具zipalign來對apk程序文件進行優化
# zipalign -v 4 Argenta.apk Argenta-signed.apk
最後,就可以安裝這個重建好的apk文件了。
# adb install ./Argenta-signed.apk
我在手機上安裝運行了這個APP程序,並用工具logcat,通過包名對其程序日誌進行過濾分析:
# adb logcat –pid=`adb shell pidof -s com.sitael.vending`
但是,沒什麼收穫,我打算再從其源代碼中看看能有什麼線索。從AndroidManifest.xml文件中,我發現了指向RushOrm的多個引用。
所以,這裡首先我找的關鍵字就是db_name,從這裡我發現了argenta.db的影子:
接下來,在手機中,我用工具Root Explorer繼續來看看這個argenta.db,真的是存在的:
然後,我用adb pull方式把手機中的這個文件拷貝到筆記本電腦中來分析:
# adb pull /data/data/com.sitael.vending/databases/argenta.db ./db
並嘗試用SQLite的數據庫瀏覽工具SQLiteBrowser來打開這個db文件:
哦,顯然,它是有密碼保護的,打不開。
逆向工程
在源代碼中,我分析了RushAndroidConfig.java:
從其中,我竟然發現了配置數據庫的各種方法(method),但是,其中這個鍵值引起了我的注意:
this.encryptionKey = getDeviceId(context)
它的定義如下:
從上圖信息中可知,目標APP程序使用了手機的IMEI串號作為了上述SQLite數據庫argenta.db的加密密鑰,通常的手機,在鍵盤上輸入*#06#就可得本身串號。那麼,我們用手機串號來試試吧,看看能否能把數據庫文件打開:
哇,真的可以啊:
經過一番檢查,我找到了UserWallets這個表:
並對其中的walletCredit一欄做了修改,把它從0改為了5(5歐元):
然後,我再把這個數據庫文件拷貝回手機APP中:
# adb pull ./argenta.db /data/data/com.sitael.vending/databases/argenta.db
破解驗證
此時,YY一下,我的感覺就像遊戲帝國時代(Age Of Empires)中的“羅賓漢”一樣,可以隨便擁有1000枚金幣。好吧,還是先來寫個小程序吧,通過這個程序,可以快捷地對目標APP數據庫進行轉儲/恢復/篡改:
接下來,我們就帶上手機,去自動售貨機那試試看吧!呵呵,竟然成功地買了一瓶礦泉水,真的可以用其中的5塊錢順利地進行消費,還能反覆消費使用!
https://www.youtube.com/watch?v=LfczO8_RfLA
總結
從APP賬戶中的0元,到之後破解APP數據庫後,我可以進行以下操作:
修改APP賬戶的金額
任意購買自動售貨機中的東西
繼續用餘額購買
餘額為0之後可重新更改餘額
如此重複消費購買自動售貨機中的商品
在對整個APP源代碼做了大概分析之後,我發現其中的很多代碼都未做混淆編碼,這意味著,售貨機廠商沒有采取很好的措施來對用戶數據和應用程序安全實行保護。
再三糾結 ,一個月後,出於白帽的心態,我還是向售貨機廠商報告了這個漏洞,我也禮貌性地建議他們拋棄當前的APP架構,從頭開發一個更好、更安全的程序。
閱讀更多 中大博研人文商學院 的文章
