大家都知道 ，4月18号，某校的校园网登录界面升级了，具体有什么变化下篇文章再讲，对于大部分人来说，输入用户名密码点登录的流程没有变。但对于兔子来说，这意味着某些见不得光的东西可以偷偷开个小窗见见太阳了。

本篇文章，只提供一个 proof-of-concept ，不提供具体攻击工具，亦不提供 step-by-step 的渗透教程，更懒得讲解原理，有好东西藏着掖着的做法，可不是我独创的。

其实很容易的啊，随便用一个什么工具先抓包吧，兔子也是学艺不精，只能抓未加密 Wi-Fi 的数据包，将将够用吧。要注意，Intel系列的某些网卡不可以开启监听模式，具体是哪些呢？某些。😌

所以具体是哪些网卡可以干坏事呢？这里不指出型号，淘宝搜“蹭网卡”会主要出现R家和另一个R家的芯片，这两个都是可以的。B家的也可以，再准确了说是所有苹果的笔记本都可以。还有A家的也行，就是大家耳熟能详的 TP-LINK 路由器里面的无线芯片，刷固件以后可以开监听，更可以远程嗅探……不过话说回来费那大劲干嘛买个 MacBook 得了呗～

老版的 IPGW ，据说是网络中心的老师自己做的，（你们也能看出来简洁版有多简洁……），总之离不开一个，核心就是个 http form ，里面两个input，点一个按钮就提交了，炒鸡容易五分钟就能写出来的界面。

点一下连接按钮后发生的网络操作，在 Chrome 中提取成 curl 命令是这样的 {% codeblock lang:sh %} curl -m 2 ‘http://202.118.1.95/ipgw/ipgw.ipgw’
-H ‘Origin: http://ipgw.neu.edu.cn’
-H ‘Accept-Encoding: gzip, deflate’
-H “User-Agent: $UA”
-H ‘Content-Type: application/x-www-form-urlencoded’
-H ‘Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8’
-H ‘Cache-Control: max-age=0’
-H ‘Referer: http://ipgw.neu.edu.cn/basic.html'
-H ‘Host: ipgw.neu.edu.cn’
-H ‘Connection: keep-alive’
–data “uid=$1&password=$2&operation=$COMMAND&range=2&timeout=1” {% endcodeblock %} 其中， -H 的都是headers可以无视，重要的部分就是 POST DATA 中的参数， uid 用户名， password 是密码， command 是操作，可以是连接或者断开这个电脑或者断开这个账户所有链接，这些所有的部分在网络中，也就是在 NEU 上是 明文发送 的！也就是，点击 连接 以后，你的用户名密码被广播到了所有你手机信号所及的地方。呐，这也是我们能干坏事的原因。

抓包过程略过去了（反正也重现不了），这里使用之前留念的cap包作演示。

在 Wi-Fi 中抓包，最头疼的是一堆一堆的 beacon 包和一坨一坨的 tcp 重传，先把它们统统过滤掉，完事是这样的。

这样就一目了然了，我们要找的是一个向 /ipgw.ipgw 发送 POST 请求的包。图里碰巧就有。

然后我们点开，图里我们就能看到这个包主人的一些信息。

• 安卓，Android 4.3
• 三星手机
• 用户名密码
• 正在使用普通版而不是简洁版网关
• 可能觉得有人在上他的号所以选择断开连接

That’s all. 除了抓包就没啥了其实，简单到只有一点点知道有这么回事的门槛（其实好多黑科技都只有这么点门槛……），但是好用的可怕，现成的东西，现成的工具。

唉，，图上po出来这个人呐，还是我们班同学……我当初抓到这个密码的时候（主要是名字拼音还在密码里），我就在马化腾发匿名告诉他，他的密码泄露了，麻溜改掉。然后现在，ipgw都换新的了，他的密码还在那里，变都没变。

如何防范？

嗯大字标出来醒目一些。其实也蛮简单的，

原来上网时候你会在浏览器输，

http://ipgw.neu.edu.cn

现在只需要换成

https://ipgw.neu.edu.cn

多打一个 s 不会累死人的！

嗯？谁问为啥多一个s？

密码学和计网白学了？

回去重修 ！

下篇文章，我会多写一点，如何自动化全部嗅探过程，并且会涉及到新版IPGW的改动，还有……我为啥要写这些羞羞的东西。敬请期待 ˊ_>ˋ