无线嗅探老版IP控制官网(误)

作者 Known Rabbit 日期 2016-06-13
无线嗅探老版IP控制官网(误)

大家都知道 ,4月18号,某校的校园网登录界面升级了,具体有什么变化下篇文章再讲,对于大部分人来说,输入用户名密码点登录的流程没有变。但对于兔子来说,这意味着某些见不得光的东西可以偷偷开个小窗见见太阳了。

本篇文章,只提供一个 proof-of-concept ,不提供具体攻击工具,亦不提供 step-by-step 的渗透教程,更懒得讲解原理,有好东西藏着掖着的做法,可不是我独创的。

其实很容易的啊,随便用一个什么工具先抓包吧,兔子也是学艺不精,只能抓未加密 Wi-Fi 的数据包,将将够用吧。要注意,Intel系列的某些网卡不可以开启监听模式,具体是哪些呢?某些。😌

所以具体是哪些网卡可以干坏事呢?这里不指出型号,淘宝搜“蹭网卡”会主要出现R家和另一个R家的芯片,这两个都是可以的。B家的也可以,再准确了说是所有苹果的笔记本都可以。还有A家的也行,就是大家耳熟能详的 TP-LINK 路由器里面的无线芯片,刷固件以后可以开监听,更可以远程嗅探……不过话说回来费那大劲干嘛买个 MacBook 得了呗~

老版的 IPGW ,据说是网络中心的老师自己做的,(你们也能看出来简洁版有多简洁……),总之离不开一个,核心就是个 http form ,里面两个input,点一个按钮就提交了,炒鸡容易五分钟就能写出来的界面。

点一下连接按钮后发生的网络操作,在 Chrome 中提取成 curl 命令是这样的

curl -m 2   'http://202.118.1.95/ipgw/ipgw.ipgw' \
-H 'Origin: http://ipgw.neu.edu.cn' \
-H 'Accept-Encoding: gzip, deflate' \
-H "User-Agent: $UA" \
-H 'Content-Type: application/x-www-form-urlencoded' \
-H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' \
-H 'Cache-Control: max-age=0' \
-H 'Referer: http://ipgw.neu.edu.cn/basic.html' \
-H 'Host: ipgw.neu.edu.cn' \
-H 'Connection: keep-alive' \
--data "uid=$1&password=$2&operation=$COMMAND&range=2&timeout=1"

其中, -H 的都是headers可以无视,重要的部分就是 POST DATA 中的参数, uid 用户名, password 是密码, command 是操作,可以是连接或者断开这个电脑或者断开这个账户所有链接,这些所有的部分在网络中,也就是在 NEU 上是 明文发送 的!也就是,点击 连接 以后,你的用户名密码被广播到了所有你手机信号所及的地方。呐,这也是我们能干坏事的原因。

抓包过程略过去了(反正也重现不了),这里使用之前留念的cap包作演示。

在 Wi-Fi 中抓包,最头疼的是一堆一堆的 beacon 包和一坨一坨的 tcp 重传,先把它们统统过滤掉,完事是这样的。

这样就一目了然了,我们要找的是一个向 /ipgw.ipgw 发送 POST 请求的包。图里碰巧就有。

然后我们点开,图里我们就能看到这个包主人的一些信息。

  • 安卓,Android 4.3
  • 三星手机
  • 用户名密码
  • 正在使用普通版而不是简洁版网关
  • 可能觉得有人在上他的号所以选择断开连接

That’s all. 除了抓包就没啥了其实,简单到只有一点点知道有这么回事的门槛(其实好多黑科技都只有这么点门槛……),但是好用的可怕,现成的东西,现成的工具。

唉,,图上po出来这个人呐,还是我们班同学……我当初抓到这个密码的时候(主要是名字拼音还在密码里),我就在马化腾发匿名告诉他,他的密码泄露了,麻溜改掉。然后现在,ipgw都换新的了,他的密码还在那里,变都没变。

如何防范?

嗯大字标出来醒目一些。其实也蛮简单的,

原来上网时候你会在浏览器输,

http://ipgw.neu.edu.cn

现在只需要换成

https://ipgw.neu.edu.cn

多打一个 s 不会累死人的!

嗯?谁问为啥多一个s?

密码学和计网白学了?

回去重修

下篇文章,我会多写一点,如何自动化全部嗅探过程,并且会涉及到新版IPGW的改动,还有……我为啥要写这些羞羞的东西。敬请期待 ˊ_>ˋ