前言

  自上一次解决掉极域电子教室（以下统称极域）屏幕广播的问题之后，便可以自由自在地玩耍了。但是面对枯燥的课程，爱搞事的我是闲不住的。在百度上逛了逛，有所发现，于是我把焦点重新放在了极域身上。

  网上有人分析了极域的通信协议，教师端和学生端是基于udp协议进行通信的，所以如果向学生端发送伪造的udp包就可以模拟教师端进而控制局域网内任意一台装有极域学生端的机子了，而这位机智的网友还直接写了工具出来，不多说，发挥一下拿来主义。

开始

  经过两轮测试，总结如下：

1. 网友写的工具虽有效，但效果不佳，优点是不需要占用通信通道，缺点是程序年代久远，大部分功能失效，并且不支持64位系统。
2. 可以直接装一个极域教师端，同样可以实现控制，优点是功能齐全强大，缺点是会占用通信通道（老师用了你就不能用，反之亦然），安装过程繁琐。

  由于网友的工具的限制性，所以我就介绍第二种方法。

卸载学生端

  首先，我们需要获取学生端的管理员密码，键盘Win+R唤出运行窗口，输入regedit，敲回车，在弹出的注册表内找到HKEY_LOCAL_MACHINE\SOFTWARE\SOFTWARE\TopDomain\e-Learning Class Standard\1.00，在右边找到UninstallPasswd，图中Passwd后涂蓝部分就是明文密码了。

  接着右键右下角托盘里的极域图标选设置，找到卸载，输入管理员密码即可进行卸载。

  卸载完成后会提示重启，选择NO（大部分学校机房机子重启后会还原，不会还原的机子请点Yes）。

  因为不能重启，所以需要通过注销的方式完成卸载，为了防止注销后需要密码登录，要在控制面板里的电源选项处将唤醒时的密码保护的选项改为不需要密码，接着将电脑注销就可以完成学生端的卸载了。

安装教师端

  安装好与极域学生端版本对应的极域教师端，过程也会提示需要重启，按照上述的方式注销即可。

  安装完成后运行。

安装其他远程控制程序

  由于学生端和教师端一次只能通过一个通信通道联系，所以在老师讲课用着教师端的情况下，无法通过其他通信通道对学生端进行控制，这样就要在老师上课之前，在学生的机子里安装一个远程控制程序。

  配置完成远程控制程序之后，通过教师端的文件下发功能发送到学生端电脑里一个隐蔽的目录里，再通过远程命令功能运行学生端的CMD，选择隐藏窗口的方式执行，填上运行参数后执行。

  远程控制程序运行参数（X为远程控制程序所在盘符，Y为远程控制程序所在目录）：

/c /q X:\Y\远程控制程序.exe

  待远程控制程序正常运行后，关闭教师端，将通信通道让出来给老师讲课（同时也避免被老师发现）。

后记

  经我后来测试，极域2010以上的版本（例如2015、2016版）无法通过旧注册表项或者工具查看管理员密码（会显示错误密码123456），但可以通过对学生端反汇编的方式查看：

  使用反汇编工具OllyDbg载入极域学生端，搜索字符串mythware_super_password，共两处，F2下断点。在解锁密码的输入框内乱输几个密码然后点击确定，会成功断下一处，接着F8单步步过，可以在寄存器EAX处看到明文密码。

  而此明文密码被加密后储存在注册表里：
  32位：HKEY_LOCAL_MACHINE\SOFTWARE\TopDomain\e-LearningClass\Studnet
  64位：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TopDomain\e-Learning Class\Studnet
  极域2015在Knock，极域2016在Knock1。

  至此我们可以将已知的加密密码导出成注册表文件.Reg，以后只需要双击导入该注册表文件即可覆盖原密码。由于我在校期间里机房的极域版本都不高，所以就没有仔细研究高版本对学生端密码的加密方式。

  最后有一个小彩蛋，mythware_super_password其实是万能密码，也就是说不管学生端设置成什么密码，输入这个都能解。

声明：本文仅是我个人的研究测试记录，事后已及时将这一漏洞报告学校信息部。故切勿用于违法违纪活动，轻则教务处，重则公安局，一切后果，自行负责。