以下所有事件、行为、情感纯属虚构,人名、地名、团体、组织等纯属胡编乱造,不含任何象征、影射、暗示行为;涉及到触犯法律的内容的,纯属虚构内容戏剧化需要,不代表本人赞同或鼓励任何触犯法律之行为。如有雷同,纯属我洞察力和想象力超群,以至于贴近事实。

0x00 我想知道她的 GPA

小田说他想和小雨有交集,想拿到她的联系方式,想和她交往,想和她一起起床。小田忧郁地从蚊帐里乌龟探头,问我要怎么办。我说:你不是喜欢刷题么,据我所知,小雨最喜欢刷《吉米多维奇》。你去图书馆借上一本,然后扔在她身后,问问她是不是她掉的,然后顺水推舟,顺理成章,顺藤摸瓜,顺手牵羊。

小田说这个方法逻辑严密、切实可行,遂大呼感谢。不出几日,他终于如愿以偿开始和小雨交往。本以为这件事到此结束,没想到没过几天,他又梅开二度地探出龟头:我想知道她的 GPA1,但又不好意思问出口。你知道的,GPA低于 3.7 的妹子,不配和高傲的我交往。
您配吗?
作为一个 GPA 极低的学渣,自尊心受挫的我白了他一眼:长度短于 18cm 的人不配向我寻求解决方案。

我真有 18cm。小田说。

我说我不信,下一秒小田就要从床上跳下来要掏宝贝给我看。鉴于我并不想把宿舍变成哲♂学现场,我连忙改口相信,答应给他帮忙。

我对小田说:你把一卡通拿出来。原本已经放弃了掏宝贝的小田又要把手伸进裤裆。作为一个五讲四美三热爱根正苗红的新时代青年,我慌忙伸出手制止:我是直男,我尊重你的性取向,你也要尊重我的。小田说误会,说着从裤裆里掏出了他的一卡通。

小田说:现在的大学校园,一卡通几乎成了学生的标配。有时候出门摸摸口袋没现金,但一卡通肯定是随身带着的。大部分学校的一卡通除了食堂、澡堂和小卖部的消费外,可能还起着门禁、图书馆借阅、考试打卡的作用,说一卡通是校园里的身份证也不为过。这么宝贝的东西,自然不能随便放。就这个学期,我的一卡通已经掉了五六次了,每次补办都要花上一笔钱,我心里很不好受。

我说:是不是每次上厕所以后一卡通就不见了?他说:你怎么知道?

0x01 圈存机

智能平板

我让小田带上一个 U 盘,带着他来到宿舍楼门口旁,那儿装着一个自助圈存机。在学校换新一卡通系统以前,这个圈存机是没有的。我指着圈存机说:你把你的一卡通放上去看看。

小田照做了,屏幕上面显示出了学号、姓名和照片。

我说:你有没有想过,如果我想查一个人的信息,拿到对方的一卡通是一个最快的方法?

小田恍然大悟状:我知道了,我这就去把她一卡通“拿”来。

我制止住了小田,说:你现在拿来也没用。你先仔细看看这个圈存机,是个什么构造。

小田仔细看了看圈存机:触摸彩屏,有 home 键,有电源键,有返回键,一旁的 POS 三个字母,O 字其实是一个摄像头,机身侧边还有个 USB 口。小田说我操,这不就是一个智能平板么。
圈存机.jpg
我说是的,这就是一个安卓平板,只要你获取了这个圈存 APP,反编译并分析,就能拿到这个圈存 APP 查询信息的接口。但是现在 home 键和返回键都被圈存 APP 屏蔽了,你需要想办法返回到桌面操作,拿到这个圈存 APP。

那要怎么拿到这个 APP ?小田问。

我说:这不在我业务范围内。你先弄着,我回宿舍了。

WebView

不出半晌,小田拿着 U 盘回来了。我对他的速度表示惊讶,丝毫没想到 18cm 的舍友竟然是个快男。

你怎么弄的?我问小田。

小田说:圈存 APP 上有个使用帮助,这个使用帮助是用一个 WebView 实现的,每次点进去,都会从服务器上读取页面显示。

然后呢?

然后这个 WebView 没有屏蔽长按搜索,自然可以长按选择文字以后,选择用 Google 搜索。这样就跳转到自带浏览器界面了,自带浏览器是没有屏蔽 home 键和返回键的,这时候就能返回桌面了。巧的是,圈存 APP 的安装文件就放在外部存储里,我直接拷贝到 U 盘上了。

都说鸡巴长见识短,我没想到小田居然如此机智。此刻我开始怀疑小田的真实长度,但再次考虑到我不想把宿舍变成哲♂学现场,到嘴边的质疑又被我咽了下去。

0x02 未加验证的查询接口

拿到了圈存 APP 的 APK 文件,接下来就可以开始反编译工作了。用 ApkTool 把 APK 转成 jar,再把 jar 放到 JByteMod 里反编译,发现这个 APP 采用 LDAP 协议访问服务器上的信息。当然,服务器是内网。

卧槽!我突然大喊一声,把小田吓了一跳。

怎么了?小田擦了擦额头上的汗问到。我说,我感觉我像在裸奔。

为什么?小田一脸疑惑。

因为这个接口没有加验证。我说。

查询持卡人信息,只需提供一个 int 型的 id 即可,返回的信息包括姓名、学号、生日、6位明文消费密码、base64格式的持卡人照片。作为查询持卡人信息的接口,居然没加认证,这感觉当然像在裸奔。
裸奔
但是这个圈存机不是处在内网的吗?小田说道:按理来说这是内外网隔离的,外网根本访问不了。

我转过身对小田说:你都把圈存机返回桌面了,就算处在内网又如何?

可是圈存机是连着网线的。小田说道:也就是说除非我们众目睽睽之下把网线拔了插上自己的设备,否则没办法访问内网。宿舍门口那儿可是24小时有人值班的。

查询 GPA 计划似乎陷入了僵局,的确,如果没有接入内网,接口再暴露也没有用。宿舍门口的圈存机倒是可以开热点共享,但鉴于我们的宿舍离宿舍门口实在太远,这个想法有点不太现实。

主要是我们宿舍在的位置太不好了。小田说道,离门口太远,离免费校园网又太远。

等等。我打断小田:你还记得免费无线校园网是什么时候安装的吗?

去年11月吧,怎么了?

我们什么时候换的新一卡通系统?

0x03 免费网络覆盖

宿舍楼周边会有一些使用一卡通消费的商铺,学校换新的一卡通系统后,他们新更换的消费终端无一例外是有着射频天线的。回想起之前,本科生宿舍楼是不提供无线校园网的,但后来每栋宿舍楼的两边都安装了大功率天线,用来发射校园网的 WiFi 信号。而天线的安装时间,和一卡通设备集体更换的时间几乎是吻合的。学校给本科生宿舍接入校园网的机会,实际上还将这个用以一卡通系统的通信,一举两得。

那玩意应该是个 AP 2,承认吧,哪有给你装校园网,又不考虑到校园网覆盖的。我把这个猜想说了出来。小田拍了下大腿道:操,我就说后勤部那帮傻逼怎么可能突然发善心,原来是为了这个。

我说:宿舍门口的圈存机是没有连 WiFi 的,但是食堂的圈存机就不一定了。正处周末,不是饭点,食堂现在应该没有什么人,我们可以去看看。

HLK-RM04

背着笔记本电脑到食堂,令我们失望的是,食堂的圈存机也是接着网线的。

怎么办?小田问。

我说:原本是要先确认是否有可疑的隐藏无线网络的,但是我笔记本没有 aireplay-ng3 的运行环境,也没有 Kismet4 ,所以直接跳过这一步吧。

我看四下无人,对小田说:你把圈存机的无线热点打开,趁现在没什么人,我看看内网。

小田按着之前在宿舍楼圈存机上操作的方式返回桌面,在设置里打开了热点。我打开手提电脑,用 TMAC5 修改了无线网卡的 MAC 地址,毕竟要连上内网,网卡真实的 MAC 地址一定是不能暴露的。修改完 MAC 地址连上热点,试着用 Postman 调用之前研究出来的 LDAP 接口。

怎样?小田问。

你自己过来看看吧。我看着屏幕说:的确,如果接入了内网,就可以查询持卡人信息了。既然说是 int 型的 id,完全可以写个脚本循环抓。

但你不可能抱着个手提在食堂抓吧?小田质疑道:而且这和我们查小雨 GPA 有什么关系?

我说:你到时候就知道了。先看看怎样拿到无线内网的热点密码吧。

我按着圈存机的 IP 和子网,把网段内的设备的 80 端口扫描了一遍,扫出好几个结果。把其中一个结果放到浏览器里访问,弹出来个提示框。
HLK-RM04

我拿出手机百度了一下,这应该是一个网络模块,提供包括 WLAN、RJ45 和串口在内的功能。考虑到学校刷卡机数量众多,不可能每一个刷卡机都拉一条网线,这很可能是无线刷卡机的模块。根据网上的说明手册,默认用户名密码是admin/admin,登了上去。

我裂开了。我说。

哪里裂了?小田眼睛放光:脱裤子看看。

不是。我指着屏幕:这的确是刷卡机的无线模块,上面保存着连接无线内网的 SSID 和密码。
内网 SSID 和密码
我裂开了。小田说。

关于隐藏无线网络的猜想被验证了。一卡通无线网在有校园无线网覆盖的地方一直存在,只是 SSID 被隐藏了。现在 SSID 和密码都获取到了,这样在校园网覆盖范围内,我可以随时接入一卡通内网。

0x04 NSA 工具包

对自己的女朋友运用社会工程学

作为一个学渣,我基本上没怎么去过自习室。学习?不存在的,学渣抄作业就完了。上网?总不可能在自习室打飞机吧。

而现在为了小田那可悲的感情观,我不得不抱着电脑来到自习室。

接下来呢?小田问道,你要怎样拿到小雨的 GPA?

我说:首先我要拿到小雨的身份证号。

小田说:这有点难,我们刚在一起没多久,这么快就去开房不合适。

我说:套她的身份证号并不难,既然你们是情侣,自然可以用社会工程学的办法。你只要假装给她科普身份证号的规则,然后问她对应规则下的她的号码是什么就好了6。当然我也可以写个脚本多线程调用接口,不过速度还是太慢了。也可以拿到她一卡通,根据我们拷下来的圈存 APP 的读卡规则,自己买读卡器读卡,不过还要买读卡器,太麻烦。

小田擦了擦脑门上的汗:我听懂了,效率最高的还是第一个方法。可是拿她身份证号干嘛?

我说:教务系统的密码默认就是身份证后六位,懂了吧。

小田:懂了,可是如果这么简单,为什么还要大费周章来破一卡通系统?

我笑道:她密码肯定改过了,教务系统这么重要的系统,她能不改么?不过你还是可以拿她身份证号,验证我一个猜想。

行吧,我现在就去社工她。小田说着掏出了手机,准备在手机上套她话。不出一会,小雨的身份证号就被套出来了。

030028。小田抛出一串数字:你拿去试试。

我拿着小雨的身份证后 6 位试了试教务系统,密码错误。再试了试一卡通管理系统,还是密码错误。

密码错误是好事

都是密码错误,咋办啊?小田崩溃。

密码错误是好事啊,我说:你想,一般人设置密码的时候,都习惯用同一套密码,至少类似功能的账号上都用同一套吧。教务系统我们黑不进去,黑一卡通系统总行了吧?我指了指自习室外的大功率天线:别忘了,我们可是在一卡通内网里。

有道理,小田点点头:而且内网和外网隔离,除了一卡通系统的网站的 80 端口,基本上没有机子接入公网开放端口,意味着内网的机子很可能存在未修复的安全漏洞。

我笑道:还记得最近 NSA 的工具包7泄露到网上了吧?那些工具包刚泄露不久,漏洞都还是 0 day,内网的机子肯定一拿一个准。

连上内网,拿着在食堂扫描到的开放 80 端口的机子列表,把和上面一个刷卡机在同一网段的设备排除掉,放到浏览器里逐一尝试访问,访问到刷卡机的,再把同一网段排除掉。不出一会儿,就找到了一卡通系统的内网地址。把地址端口一扫描,发现开着 80 端口、 445 端口和一个 3389 端口。

现在好办了,我说:一卡通系统内网地址找到了,而且服务器应该是 Windows 系统,黑进去不成问题。工具包我之前下好了,等我装个 kali 就可以。

lbwnb!小田大叫。

自习室里的男男女女回过头来,满脸怒气,丝毫没有预料到不久后自己的个人信息就要暴露在两个傻逼面前。

0x05 一卡通系统是我的了

下好了 kali,按着【NSA黑客工具包】Windows 0day验证实验的视频教程一步一步拿下一卡通系统。这个过程太繁琐,以至于本篇文章的作者都懒得写出来。

好了。我长舒一口气,屏幕上是 Windows 远程登录成功的提示。

我说:说实话,真的拿下一卡通系统的机子时,我并没有那么兴奋。

能把手拿开了么?我屁股有点疼。小田低头看着他的屁股我的手对我说。

我把手放回鼠标上,开始寻找一卡通系统的配置文件:连接数据库的配置一定保存在本地,只要连接上了数据库,密码就可以随便抓了。

看起来是个 Oracle 数据库。小田在一旁自言自语:毕竟是这么大个业务系统。

拿到数据库的地址、用户名和密码,我打开 Navicat 登了上去。根据小雨的名字在系统里查了一下,很快就发现了被 hash 后的密码。我把一卡通系统的 war 文件下载下来,照样丢到 JByteMod 里反编译,发现 hash 用的是 MD5,32 位。

密文密码是找到了,可是 MD5 是 hash 算法,难道你还要暴力穷举?小田疑惑。

这事儿已经有人干了。我说着,打开了CMD5,把小雨的哈希密码 328279c584408abfe35406d2280c7e52 放了进去,点击解密,很快就有了结果。

看来这个密码已经被穷举过了,这 CMD5 的数据库里有,密码是 52ergou.

就这么简单?小田张大了嘴巴。

嗯,就这么简单。我愣了一下,往身后的椅背上一靠。

我稍微歇了会,没理会一旁还在目瞪口呆的小田,打开了教务系统的网站,输入小雨的学号,和刚刚拿到的密码,登了上去。

GPA 3.83,你可以安心和小雨处对象了。我看着网页,对一旁的小田说。

我就说小雨是配得上我的。小田松了一口气,像是多年未排的宿便被抠了出来:我还以为她的密码很复杂,没想到这么简单,就是 52 什么……什么来着?

我说:这不重要,你已经知道她的 GPA 了。

我合上电脑,收拾东西,走出了自习室。小田跟了上来,一个劲地夸我牛逼。

你会陪小雨刷《吉米多维奇》的吧?我径直走着,头也不回地跟小田说。

嗯,这几天来每天晚上都在刷。小田说。

那就好。

0x06 后记

女生来到我身边的时候,我假装盯着屏幕上的代码,没告诉她我刚把下着毛片的迅雷最小化。

二狗。女生轻轻地叫着我。

我转过身看着女生,说:我忙着编程呢,你先忙去吧。

可是你答应我陪我一起刷《吉米多维奇》的。女生一脸的不高兴:虽然我也很喜欢你看着电脑认真的样子,可是你答应我的事就一定要做到啊。女生别过脸去:做不到的事情,就不要轻易承诺。

下次一定下次一定。我的视线回到电脑上。

二狗。女生轻轻地叫着我。

又怎么了?我一脸不耐烦:我说了,下次一定。

嗯……没事了。女生犹豫了一会:下次再说吧。


  1. 此处 GPA 采用 4.3 分制
  2. AP 可保证接入终端与交换机处在同一子网,无线路由一般用于创建新的局域网
  3. aircrack-ng 组件包内的一个数据包注入重放工具
  4. 一款无线嗅探工具
  5. 一款修改网卡 MAC 地址的工具
  6. 我国 18 位身份证号 = 6 位地区 + 8 位生日 + 3 位序号(男奇女偶)+ 1 位校验(可根据前 17 位计算)
  7. 据传是 NSA 下黑客组织 EQUATION 使用的安全渗透工具包,较完整的版本于 17 年上半年被黑客组织 Shadow Brokers 披露