前言

  自上一次解决掉极域电子教室(以下统称极域)屏幕广播的问题之后,便可以自由自在地玩耍了。但是面对枯燥的课程,爱搞事的我是闲不住的。在百度上逛了逛,有所发现,于是我把焦点重新放在了极域身上。

  网上有人分析了极域的通信协议,教师端和学生端是基于udp协议进行通信的,所以如果向学生端发送伪造的udp包就可以模拟教师端进而控制局域网内任意一台装有极域学生端的机子了,而这位机智的网友还直接写了工具出来,不多说,发挥一下拿来主义。

开始

  经过两轮测试,总结如下:

  1. 网友写的工具虽有效,但效果不佳,优点是不需要占用通信通道,缺点是程序年代久远,大部分功能失效,并且不支持64位系统。
  2. 可以直接装一个极域教师端,同样可以实现控制,优点是功能齐全强大,缺点是会占用通信通道(老师用了你就不能用,反之亦然),安装过程繁琐。

  由于网友的工具的限制性,所以我就介绍第二种方法。

卸载学生端

  首先,我们需要获取学生端的管理员密码,键盘Win+R唤出运行窗口,输入regedit,敲回车,在弹出的注册表内找到HKEY_LOCAL_MACHINE\SOFTWARE\SOFTWARE\TopDomain\e-Learning Class Standard\1.00,在右边找到UninstallPasswd,图中Passwd后涂蓝部分就是明文密码了。

01.jpg

  接着右键右下角托盘里的极域图标选设置,找到卸载,输入管理员密码即可进行卸载。

02.jpg

  卸载完成后会提示重启,选择NO(大部分学校机房机子重启后会还原,不会还原的机子请点Yes)。

03.jpg

  因为不能重启,所以需要通过注销的方式完成卸载,为了防止注销后需要密码登录,要在控制面板里的电源选项处将唤醒时的密码保护的选项改为不需要密码,接着将电脑注销就可以完成学生端的卸载了。

04.jpg

安装教师端

  安装好与极域学生端版本对应的极域教师端,过程也会提示需要重启,按照上述的方式注销即可。

05.jpg

  安装完成后运行。

06.jpg

植入木马

  由于学生端和教师端一次只能通过一个通信通道联系,所以在老师讲课用着教师端的情况下,无法通过其他通信通道对学生端进行控制,这样就要在老师上课之前,对学生的机子里种植一个远程控制木马。

  配置完成木马之后,通过教师端的文件下发功能发送到学生端电脑里一个隐蔽的目录里,再通过远程命令功能运行学生端的CMD,选择隐藏窗口的方式执行,填上运行参数后执行。

  木马运行参数(X为木马所在盘符,Y为木马所在目录):

/c /q X:\Y\木马.exe

  待木马上线成功后,关闭教师端,将通信通道让出来给老师讲课(同时也避免被老师发现),然后就可以神不知鬼不觉地通过木马进行控制。

后记

  经我后来测试,极域2010以上的版本(例如2015、2016版)无法通过旧注册表项或者工具查看管理员密码(会显示错误密码123456),但可以通过对学生端反汇编的方式查看:

07.jpg

  使用反汇编工具OllyDbg载入极域学生端,搜索字符串mythware_super_password,共两处,F2下断点。在解锁密码的输入框内乱输几个密码然后点击确定,会成功断下一处,接着F8单步步过,可以在寄存器EAX处看到明文密码。

08.jpg

  而此明文密码被加密后储存在注册表里:

  32位:HKEY_LOCAL_MACHINE\SOFTWARE\TopDomain\e-LearningClass\Studnet

  64位:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TopDomain\e-Learning Class\Studnet

  极域2015Knock,极域2016Knock1

09.jpg

  至此我们可以将已知的加密密码导出成注册表文件.Reg,以后只需要双击导入该注册表文件即可覆盖原密码。由于我在校期间里机房的极域版本都不高,所以就没有仔细研究高版本对学生端密码的加密方式,如果有兴趣的朋友可以逆向一下它的算法,做成注册机。

  最后有一个小彩蛋,mythware_super_password其实是万能密码,也就是说不管学生端设置成什么密码,输入这个都能解。

声明:本文仅是我个人的研究测试记录,切勿用于违法违纪活动,轻则教务处喝茶,重则公安局做客,一切后果,自行负责。

© 允许规范转载
如果觉得我的文章对您有用,请我喝一杯咖啡吧~