[[247256]]

聲明：本文僅限技術(shù)討論，嚴(yán)禁用于任何非法用途

毫無(wú)疑問(wèn)，自動(dòng)售貨機(jī)是非常受歡迎的東西，我們總會(huì)從中購(gòu)買獲取一些小零食。早幾年前，自動(dòng)售貨機(jī)只接受離線的硬幣支付，之后，也慢慢采用了普及的NFC技術(shù)功能。如果我說(shuō)起“COGES”售貨機(jī)器 (英國(guó)售貨機(jī)器廠商)，我想肯定會(huì)勾起很多人的美好時(shí)光回憶。時(shí)光輾轉(zhuǎn)，一不留神，有些事情就發(fā)生了根本性的變化，現(xiàn)如今，這已經(jīng)是一個(gè)被網(wǎng)絡(luò)萬(wàn)物互聯(lián)的時(shí)代了。今天，我就來(lái)和大家分享一個(gè)，我是如何黑掉一臺(tái)自動(dòng)售貨機(jī)，反復(fù)實(shí)現(xiàn)充值和購(gòu)買售貨機(jī)中商品的事例。

事情起因

有一天，我厭煩了深入簡(jiǎn)出的無(wú)聊生活，打算回老家曬曬太陽(yáng)休息休息，臨走前，我到了學(xué)校拜訪一個(gè)大學(xué)教授。穿過(guò)走廊，老師提議，我們?nèi)ズ缺Х劝桑谑?，我們?lái)到了自動(dòng)售貨機(jī)旁。

• 我說(shuō)：我來(lái)吧，我有硬幣。
• 老師：等等，我可以用手機(jī)APP來(lái)支付，這樣會(huì)便宜點(diǎn)。

可以看到，這是一臺(tái)Argenta自動(dòng)售貨機(jī)，其APP支付方式是基于藍(lán)牙和NFC功能的，啊，虛擬錢包就是好啊! 

此時(shí)，我心里閃過(guò)的念頭 – 我能把它黑掉嗎???

• 白帽心聲：沒有賞金就當(dāng)做是一種鼓勵(lì)吧。
• 灰帽心聲：就當(dāng)做練練手吧。
• 黑帽心聲：來(lái)吧，伙計(jì)，我們?nèi)ナ帐耙幌履莻€(gè)東西，這樣就很牛了!

于是乎，我就決定改天就開黑。

技術(shù)分析

某天，我把我的安卓手機(jī)設(shè)置開啟了USB調(diào)試模式，然后從應(yīng)用商店中下載了自動(dòng)售貨機(jī)APP，并把原始APP的apk文件轉(zhuǎn)儲(chǔ)到筆記本電腦中，用adb去調(diào)試分析：

# adb pull /data/app/com.sitael.vending-1/base.apk ./Argenta.apk 

用apktool對(duì)它進(jìn)行反編譯：

# apktool d ./Argenta.apk ./Argenta 

再用 jadx提取出其中的java源文件：

# jadx ./Argenta.apk 

AndroidManifest.xml清單文件是每個(gè)Android程序中必須的文件，它是整個(gè)Android程序的全局描述文件，除了能聲明程序中的Activities，Content Providers，Services，和Intent Receivers，還能指定應(yīng)用的名稱、使用的圖標(biāo)、包含的組件以及permissions和instrumentation(安全控制和測(cè)試)。這里，一開始，需要把AndroidManifest.xml文件中的調(diào)試屬性更改為ture，之后才可在手機(jī)上進(jìn)行調(diào)試，也就是往application 標(biāo)簽中添加一行 android:debuggable=”true” 屬性。 

接下來(lái), 重建apk文件：

# apktool b ./Argenta 

然后用工具keytool來(lái)創(chuàng)建一個(gè)新的密鑰：

# keytool -genkey -v -keystore Argenta.keystore -alias Argenta -keyalg RSA -keysize 2048 -validity 10000 

接著，使用該創(chuàng)建密鑰，用jarsigner來(lái)對(duì)整個(gè)apk文件進(jìn)行簽名：

# jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore Argenta.keystore Argenta.apk Argenta 

再用工具zipalign來(lái)對(duì)apk程序文件進(jìn)行優(yōu)化

# zipalign -v 4 Argenta.apk Argenta-signed.apk 

***，就可以安裝這個(gè)重建好的apk文件了。

# adb install ./Argenta-signed.apk 

我在手機(jī)上安裝運(yùn)行了這個(gè)APP程序，并用工具logcat，通過(guò)包名對(duì)其程序日志進(jìn)行過(guò)濾分析：

# adb logcat –pid=`adb shell pidof -s com.sitael.vending`  

但是，沒什么收獲，我打算再?gòu)钠湓创a中看看能有什么線索。從AndroidManifest.xml文件中，我發(fā)現(xiàn)了指向RushOrm的多個(gè)引用。 

所以，這里首先我找的關(guān)鍵字就是db_name，從這里我發(fā)現(xiàn)了argenta.db的影子： 

接下來(lái)，在手機(jī)中，我用工具Root Explorer繼續(xù)來(lái)看看這個(gè)argenta.db，真的是存在的： 

然后，我用adb pull方式把手機(jī)中的這個(gè)文件拷貝到筆記本電腦中來(lái)分析：

# adb pull /data/data/com.sitael.vending/databases/argenta.db ./db 

并嘗試用SQLite的數(shù)據(jù)庫(kù)瀏覽工具SQLiteBrowser來(lái)打開這個(gè)db文件： 

哦，顯然，它是有密碼保護(hù)的，打不開。 

逆向工程

在源代碼中，我分析了RushAndroidConfig.java： 

從其中，我竟然發(fā)現(xiàn)了配置數(shù)據(jù)庫(kù)的各種方法(method)，但是，其中這個(gè)鍵值引起了我的注意：

this.encryptionKey = getDeviceId(context) 

它的定義如下： 

從上圖信息中可知，目標(biāo)APP程序使用了手機(jī)的IMEI串號(hào)作為了上述SQLite數(shù)據(jù)庫(kù)argenta.db的加密密鑰，通常的手機(jī)，在鍵盤上輸入*#06#就可得本身串號(hào)。那么，我們用手機(jī)串號(hào)來(lái)試試吧，看看能否能把數(shù)據(jù)庫(kù)文件打開： 

哇，真的可以?。?nbsp;

經(jīng)過(guò)一番檢查，我找到了UserWallets這個(gè)表： 

并對(duì)其中的walletCredit一欄做了修改，把它從0改為了5(5歐元)： 

然后，我再把這個(gè)數(shù)據(jù)庫(kù)文件拷貝回手機(jī)APP中：

# adb pull ./argenta.db /data/data/com.sitael.vending/databases/argenta.db 

破解驗(yàn)證

此時(shí)，YY一下，我的感覺就像游戲帝國(guó)時(shí)代(Age Of Empires)中的“羅賓漢”一樣，可以隨便擁有1000枚金幣。好吧，還是先來(lái)寫個(gè)小程序吧，通過(guò)這個(gè)程序，可以快捷地對(duì)目標(biāo)APP數(shù)據(jù)庫(kù)進(jìn)行轉(zhuǎn)儲(chǔ)/恢復(fù)/篡改：

接下來(lái)，我們就帶上手機(jī)，去自動(dòng)售貨機(jī)那試試看吧!呵呵，竟然成功地買了一瓶礦泉水，真的可以用其中的5塊錢順利地進(jìn)行消費(fèi)，還能反復(fù)消費(fèi)使用!

https://www.youtube.com/watch?v=LfczO8_RfLA

總結(jié)

從APP賬戶中的0元，到之后破解APP數(shù)據(jù)庫(kù)后，我可以進(jìn)行以下操作：

• 修改APP賬戶的金額
• 任意購(gòu)買自動(dòng)售貨機(jī)中的東西
• 繼續(xù)用余額購(gòu)買
• 余額為0之后可重新更改余額
• 如此重復(fù)消費(fèi)購(gòu)買自動(dòng)售貨機(jī)中的商品

在對(duì)整個(gè)APP源代碼做了大概分析之后，我發(fā)現(xiàn)其中的很多代碼都未做混淆編碼，這意味著，售貨機(jī)廠商沒有采取很好的措施來(lái)對(duì)用戶數(shù)據(jù)和應(yīng)用程序安全實(shí)行保護(hù)。

再三糾結(jié) ，一個(gè)月后，出于白帽的心態(tài)，我還是向售貨機(jī)廠商報(bào)告了這個(gè)漏洞，我也禮貌性地建議他們拋棄當(dāng)前的APP架構(gòu)，從頭開發(fā)一個(gè)更好、更安全的程序。