# 晶片卡 Agent 逆向工程與重製：以健保卡為例 - Inndy Lin {%hackmd @HITCON/r1z4zylVv %} > 從這開始 ###### tags: `HITCON2020`,`HITCON` ## 背景介紹 ### 拿報稅系統做健保卡和自然人憑證做實名驗證機制 - 健保卡 C/C++/wss (websocket over TLS) - ActiveX/COM，讓 IE 可以直接在script 內使用 - 自然人憑證 晶片卡C++外部執行程式/伺服器nodejs - 伺服器用 window.open/window.opener.postMessage 繞過 CSP - 中國信託：C-sharp 額外的GUI驗證 ### 認證架構 瀏覽器(身分認證服務) wss:// Aegent(健保卡) Custom Protocol 認證伺服器 瀏覽器(身分認證服務) XmlHttpRequest (nodejs) 卡片認證 自然人憑證 ## 逆向過程 - Linux - ELF version - 動態連結 libc,openssl - 沒有strip(可以看到function name) - windows version - agent static-linked openssl，難下手 ### Linux ELF function name 和 global name 都有 Pro Tips : 先看Mach-O 的執行檔 Obj-C swift 有 symbol name > Note : Try s*b*i*e 從stackoverflow上抄了一段把程式變成服務的程式碼 (做到服務不會被執行兩次) > [sample code from stackoverflow](https://stackoverflow.com/questions/14359727/calling-linux-service-with-parameters) example服務的lock 從sz開頭，可以看出是Windows變數的notation TRACE_ERR寫log，可能會寫入隨機的stack殘留資料 顯然跟Windiows是同一份原始碼 從websocket 的函式名稱，[抄opensource的socket程式碼](https://github.com/m8rge/cwebsocket) GetVersion GetRandom ## 健保卡驗證流程與通訊協定 使用wss(websocket over TLS)通訊 可以用瀏覽器console自己發command給agent 包含卡號、身分證、姓名 |指令|作用| |---|---| |GetVersion |Agent 版本號 linux 0001| |GetBasic| 健保卡編號身分證命名生日性別| |EnCrypt?Pwd= |加密健保卡登入密碼(長度上限12bytes)| |SecureGetBasicWithParam?Pwd=|| |GetRandom |Agent Nonce| |H_Sign?Random= |Agent Nonce進行卡片驗證，取得LoginToken| Browser 與 Agent 驗證卡片流程 1. Random 2. Nonce 3. H_Sign(Agent Nonce) 4. Login Token :accept: 5. EnCrypt(Password) (DES3及固定KEY加密) 6. Encrypt Password :accept: H_Sign流程 > 驗卡流程 ```sequence Agent->Server: Handshake Server->Agent: Sessionkey Note left of Agent: Card Number Agent->Server: Card Nonce Server->Agent: Server Challenge Note left of Agent: Card Response Agent->Server: Agent Nonce Server->Agent: Login Token ``` 1. Handshake 2. SessionKey (Handshake & key-exchange) 3. **Card Number** , **Card Nonce** 4. Server Challenge 5. **Card Response**, Agent Nonce 7. Login Token ## 重新實作 用C操作Windows API從卡片讀取資料 接OpenSSL API就放棄用C惹QQ > C語言的OpenSSL API 不適合人類使用 ### Linux SmartcardLibrary libcsclite WinSCard 相容的 Library ### 重新實作 改用Python 找到 pyscard 跨平台操作晶片卡讀卡機 OpenSSL 過於複雜，很難知道什麼時候 free 才是對的 python crash 沒有錯誤訊息，因為錯在OpenSSL ### 重新實作 Crypto API 脫離ctypes + Openssl 改用PyCryptodome ### WebSocket websocket handler，處理 Origin 的檢查 避免其他網站能讀到健保卡的資料 Hitcon zerodays ZD-2020-0195 ### 重新實作 劫持連線 希望不要改/etc/hosts pysoxy(socks5 proxy) ### 無效憑證 原本沒有正確的簽root CA TWNHI Smartcart Agent https://github.com/Inndy/twnhi-smartcard-agent 通殺Windows/Mac/Linux ## 程式弱點分析 <!--因為健保卡公司，所以無法寫筆記QQ-->