随着互联网的发展，学生们开始陆续享用互联网带来的红利。应用的业务越来越广泛。方便大家当然是好事，学校的相关人员也非常注意网络安全保护。可是，学校保护大家的时候，千万别忘了保护自己，不然，可能系统被黑而“蹭卡”。我们结合新闻一起来盘点。

　　校园卡的烦恼

　　案例一：大学生破解校园卡系统白吃白喝两年被刑拘

　　事件回放：今年1月21日的新闻，据北京晚报的报道，有的大学生所学专业知识不用在正途，却动歪心思破解校园一卡通充值系统，两年多盗刷两万余元，如今终被海淀警方抓获并刑拘，盗刷校园一卡通案告破。

　　1月9日13时许，一所知名高校保卫部门向海淀分局万寿寺派出所报警：曲某在校就读期间涉嫌盗刷校园一卡通。通过保卫部门提供的曲某校园卡充值消费记录，民警发现自2014年11月至2016年6月，该卡在学校内正常消费，并有完整的充值消费记录。但根据学校提供的电脑充值点记录，该卡实际上并没有在学校进行任何现金充值。凭借多年的办案经验，民警认为该卡的充值系统应该是被“黑了”。

　　当天傍晚，曲某见民警找来，一下子愣住了，主动承认了自己的罪行。民警将嫌疑人曲某带回派出所进一步审查。曲某是这所高校2016年毕业生，去年6月至今，他留宿在学校继续考研。2013年10月，他了解到所有系统都有漏洞后，想到如果自己破解学校一卡通，就可以白吃白喝，加上好奇心作祟，便想破解试试看。2014年1月，曲某准备好破解软件后，又网购了用于连接充值卡传感器等破解工具。经过3个月的“钻研”，他成功破解了学校的一卡通充值系统。

　　案例二：注销卡的起死回生“坑”学校十几万元

　　事件回放：去年7月2日，某城市西青区大学城内某高校财务处报警称，在核对处理该校校园一卡通账目时，发现一个早已销户的卡号居然在近四年间还在持续不断地消费，累计数额高达十几万元，怀疑是被人盗刷。

　　接到报案后，公安西青分局学苑派出所民警迅速出警，开展案件调查工作。据校方财务处负责人介绍，“这张卡本来是属于我校的一名学生使用，后来本人遗失，我们就把这个卡号注销了。”民警发现在卡片遗失注销后的四年间，学校里的超市、食堂、小卖部等地却频繁出现了该卡的消费记录。在某超市的视频监控录像中，校方辨认出该卡在某次被盗刷时，使用该卡消费的嫌疑人正是负责维护校园一卡通系统的工作人员张某。

　　经过连续多日的走访取证，民警掌握了大量证据，确定这是一起利用校园卡充值系统漏洞实施盗刷的诈骗犯罪案件，并最终锁定了系统维护人员张某及其女友刘某、同事周某有重大作案嫌疑。去年7月23日，民警组织多名警力，将三名嫌疑人全部抓获归案。

　　张某向民警如实交代了，2012年他无意中在校园里捡到了这张卡，因为之前在对系统进行维护时曾经发现一卡通充值系统中可能存在“不充值也能消费”的漏洞，便萌生了想要试一试的“邪念”。于是，他私自从后台开通了已经被注销的卡，并利用充值漏洞成功“充”入了200块钱。自此之后，张某便一发不可收拾，开始了在学校白吃白喝的日子，后来甚至还为其女朋友张某、同事周某制作这种“免费卡”，三人经常在学校里闲逛，一起吃饭、购物。

　　校园卡防“坑”攻略

　　我们不妨逆向思维，向我们的对手打一个反手拳。根据第一个和第二个案例的共通点，不难发现，他们都用的一个办法来逃避学校的注意，那就是充少量的金额。

　　案例一：为了避免被发现，曲某每次在卡里金额剩下十多元时，就用破解系统充入200元。从2014年11月至2017年1月，曲某利用这种方式为学校所办的校园卡和校友卡卡中充值金额达2.3万余元。而这些非法所得全部被曲某用于在学校吃饭、喝水、上网、洗澡等消费。

　　案例二：因为张某每次就只充200、300元钱，学校一开始确实没有发现这个问题，没想到这一用就是4年，给学校造成了重大的经济损失。面对即将要受到的法律严惩，张某坦言非常后悔：“就像发现自动取款机突然往外吐钱的感觉，我不差钱，但善恶就在一念之间，没挺住。”目前，张某等三人因涉嫌诈骗罪已被西青警方依法刑事拘留。案件正在进一步审理中。

　　从这两个案例看防“坑”的重点，不能仅仅关注大额资金的异常变动，今后学校的相关人员要苦练内功，防漏洞的技术提高之外，还需提高警惕，对于小额的金额，如果出现多回异常的状况时，需及时地追查蛛丝马迹。当然，苦练内功，减少漏洞还是关键。

　　那么，漏洞在哪里呢？知彼知己，百战不殆。棋逢对手，只有过招后，我们才能更懂对手。所以，同样地，还是逆向思维，以下是FreeBuf.COM论坛的一篇帖子，由网上技术达人介绍如何攻破“M1卡的漏洞”，克隆篡改饭卡去蹭饭的途径。也许，通过此帖子，学校能从对手的角度探索防守的方向，来减少漏洞。

　　帖子赢得共670424人围观，可见蹭饭的关注度了。帖子仅仅是一个实验，第一步，提供实验设备：PM3及天线+饭卡+UID白卡。连接好设备后通过hwtune观察电压变化，判断高低频卡。

　　第二步，克隆卡。

　　读M1的卡数据。记下UID号，用于之后复制一张UID一样的卡，sector0区其它厂商信息地方改不了就没办法了，因为写死了。我们可以利用一张UID白卡完成克隆和修改，保证数据可对比性。连接com3口proxmark3COM3进入命令行，如图1所示。

　　执行：hf14areader，记下UID：b39422d4后续克隆卡使用，如图2所示。

　　获取区块1的A/Bkey，如图3所示。

　　使用hfmfnested枚举其它区块key，如图4和图5所示。

　　然后，你可以看到，区块基本都使用的是默认的卡密。这里不展开图示了。操作完之后，就可以将卡的原始数据dump出来，接着把dumpdate.bin文件备份，使用C32asm对数据进行个性。为了克隆卡及验证修改数据后是否可正常使用，先把卡上的姓名进行修改。之后，把修改后的dumpdata.bin重新写入到UID白卡上，为防止检校UID，先把白卡的UID改掉。

　　命令：

　　hfmfcsetuidb39422d4

　　接着就可以将dumapdata.bin内容克隆到新卡上了。

　　使用命令：hfmfrestore进行克隆。PM3灯闪一会儿就克隆完了。然后中午饭去刷卡，修改姓名后的克隆卡正常使用。

　　第三步，篡改卡余额。

　　中饭过后，刷了一次卡，然后第一时间就是dump出克隆卡的数据，将原卡数据与刷卡后的数据进行对比。使用bcompare对两次数据进行比对，如图6所示。

　　对比两次刷卡记录发现有两个区块的数据变化，同一次刷卡中，上面数据一致。猜测是作为备份数据使用。其中红色框左边的0e06换算成十进制就是1550，右边F005换算成十进制是1520。正好对应我的卡余额155以及刷卡后的152。说明这个位置是余额位。绿色框框表示的是余额的检校位。两次数据对比很容易发现校检位的生成方式。

　　余额检校位算法：OE+06=14f0+05=f5

　　修改余额200.0转换十六进制：07D0倒序写入0627检校位2D

　　修改几处数据，如图7所示。

　　运行hfmfrestore命令，重新写入白卡。再次刷卡后，余额成为197元。