涉嫌串通投标的电子标书，真的能出现127.0.0.1吗？（捉Bug记）

摘要省流版：真的可以。原理是制造网卡状态异常，欺骗电子标书制作软件认为机器在联网状态，从而制造出来的电子标书的制作ip是127.0.0.1，且mac地址合法。实情如何，估计需要当时方解释了。

----------------

事件背景

5月初，一份《关于拟对XXXX予以不良行为记录的告知书》在网络上传开。内容大约为有几家公司制作的投标文件IP地址一致，均为127.0.0.1，涉嫌串通投标。事件一出来，IT圈一片哗然，纷纷表示不解。众所周知，127.0.0.1是一个本地回环地址，只在本机上存在，这究竟是不懂网络技术，还是服务器搞错配置？

笔者初看这条信息也是觉得费解，但是从告知书内容来看，说的是制作投标文件IP，而不是上传投标文件ip。那么，这个ip很大概率是从制作投标文件的过程中引入的。于是乎，笔者进行了进一步求证，并在数个网友的配合下，验证了关键流程。结果出乎意料：127.0.0.1还真有可能出现！

电子标书的两码

首先，根据网络资料，一个制作好的电子标书会有两个码，一个是文件机器码，一个是文件创建码。文件机器码来源于电脑软硬件标识，比如网卡MAC地址、硬盘序列号、CPU序列号、主板序列号等；而文件创建码则来源于创建投标文件时生成的文件唯一id。文件机器码也有不含IP字段的，比如安徽省发展和改革委员会的答复中，就没有提到IP【2】。但是抖快红三家的标书制作公司发出来的宣传信息中，不少会明确提到文件机器码会含ip。

那么海南省的招投标中，电子标书中的文件机器码包不包含IP呢？查阅《关于进一步推进房屋建筑和市政工程招投标制度改革的若干措施（试行）》”【1】中可以明确看到，标书制作过程是需要记录软硬件所有信息，并且需要检查投标文件的IP地址。

第十八条 投标人应按照本《若干措施》的第十五条规定编制投标文件，并符合下列要求：（一）不得篡改软硬件信息，并按照交易平台要求进行加密和解密；…… （四）投标报价应当记录投标人软硬件的所有信息，且不得删除招标工程量清单记录的软硬件信息。

第二十三条 开标结束后，招标人或招标代理机构应通过“机器管招投标”系统的自动比对、筛选功能对所有投标文件的IP地址、计算机网卡MAC地址、计价软件加密锁号和数据储存设备序列号等信息进行自动比对，筛选出合格投标文件进入评标环节，将存在涉嫌串通投标的投标文件自动截留，不得进入评标环节并自动保存后推送给行业监督部门，由行业监督部门按照围标串标行为依法依规进行处理。

而根据公众号“海南云易签信息科技有限公司”发布的消息【3】，其制作招投标文件流程里面就很明确了投标文件是在电脑用专用软件制作的，但是要联网。

进入软件打开投标文件进行在线编制，编制投标文件所需要的流程步骤为：编制→签章→生成。

所以，需要考虑的问题是：制作电子标书的软件，在什么情况下会获得127.0.0.1的呢？

破案了，但又没全破

在微博@xslidian 的协助下，笔者通过反编译制作电子标书工具的dll文件，顺利找到了找到了对应获取机器IP的流程。这是一份.net 4.5的C# 代码，从逻辑来看，并不复杂，先从物理网卡获取ipv4，不行再通过DNS解析主机名来获取ipv4。

那么有没有什么办法能整成127.0.0.1？笔者将相关代码进行了还原，然后在虚拟机测试。测试过程中，笔者对源代码进行了修改，故意放开了VMBUS的虚拟网卡，以进行快速测试。

测试的结果是，原代码逻辑中还真可以出现获取到127.0.0.1的情形。那就是如果网卡全部断网、且没有其他虚拟网卡或操作系统内部NAT网的情况下，DNS解析主机名时，windows会自动返回127.0.0.1。这个结论，从win 7到win server 2025测试版都能复现成功。

那么破案了，这个127.0.0.1确实是个异常。那投标人员是真的故意断网制造标书来绕过检测.......么？

答案是：现阶段无法判定，因为还有一个逻辑没绕过，那就是根据mac地址的获取逻辑，如果断网了，mac地址会获取不到，此时会提示没网卡，从而阻止生成电子标书。

那有没有一种方法，欺骗电子标书制作软件是在联网状态，mac正常获取到，且ip获取到127.0.0.1，最终顺利制作出电子标书呢？

大道至简的方案

答案出乎意料的简单，微博@xslidian 给出了可行方案就是：勾掉网卡获取IPV4的能力。

此时物理网卡是在打开状态，但是ipv4并没有获取到。而电子标书制作工具的获取IP和mac逻辑就掉进了一个意料不到的边界陷阱：物理网卡是打开了，那么mac自然能获取到；但是网卡没有ip，此时工具通过通过dns解析主机名，windows给返回了127.0.0.1。

如此一来，一份既带合法mac地址、又带着127.0.0.1 ip的电子标书，就能在投标方的电脑上那里顺利产生了。那么，从招标方的角度来看，这几家投标方就确实颇可疑了——127.0.0.1明显是网络异常时出现的情况，能用很简单的方式制造出来；而且还是几家都有，动机和能力都具备，你说还涉不涉嫌围标串标？

那么投标方有没有申辩可能呢？还真有，原因是制作电子标书软件的IP获取逻辑本身存在一个纰漏，那就是常理情况下，物理网卡获取的ipv4一般会是内网地址，所以众多电子标书可能存在大面积是192.168.x.x这样的内网ip地址，并不具有唯一性。这导致这个获取ip行为退化为一种网络连通性检测，而不是唯一性检测。

但是无论如何，真正的实情如何，估计只有相关的数个当事方才能知道了。

尾声

离谱的表现背后，可能也有出乎意料的合理缘由。有时不先入为主，亲自验证，说不定能丰富自己的IT阅历。

而海南省“机器管招投标”貌似在公共采购领域——尤其是招投标监管——带来不少讨论的。笔者希望通过本文抛砖引玉，看到这个事件的更多技术细节考究。

参考资料：

【1】https://www.danzhou.gov.cn/danzhou/rdzt/yshj/zc/flfgjzcwj/zbtb/202307/t20230715_3454806.html

【2】https://fzggw.ah.gov.cn/content/article/148361821

【3】https://mp.weixin.qq.com/s/EcFam0cdBFlnzzyM_PeMgw

原文始发于微信公众号（利刃信安）：涉嫌串通投标的电子标书，真的能出现127.0.0.1吗？（捉Bug记）