WooYun Zone镜像——一基友再遇奇葩无线网络环境,顺便求二级/三级/四级ISP的盈利方式?

admin 7月前 121

一基友再遇奇葩无线网络环境,顺便求二级/三级/四级ISP的盈利方式?

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 07:37

话说今年春节的时候,老夫一基友同学回国过年了,他家在云南,由于彼此之间有5年的深交(想歪的面壁去),遂讨论了一些事情,其中包括他老家的网络。

首先,他老家没网,因为他老家城市比较小,网没多少人用,都认为没必要花一个月几百的网费上网,而且还是ADSL,于是乎其小区推出了小区网络套餐。(随后知道是当地的一个大学生创业团体跟小区物业合作的)。

价格呢,60元包月,下载速度保证4M,上传速度貌似对等(未经证实,他这么说的,FTP上传能到400kb/s)。

其中还有8M,10M,20M,50M包月,还有走流量收费的。

但是据他说,他家宽带在人少的时候下载能飙到1-2MB/s,趁这个机会下载,早晨人多的时候立刻网速就降掉400kb/s (之后才知道是他们小区运营商开了动态分配功能,就是保证你下载速度400,网络资源大的时候自动弹性调节网速,业界良心啊)。

出口的IP很多都是公司,学校的网络。

什么云南大学,XX公司,甚至有一次IP跳到四川了,路由跟踪也是走的四川的路由,不得其解,按照大学生创业团体的资金不可能拉专线。

办网的时候,要交一个叫做:“设备租用费的”的一次性费用,大概是300元的押金,设备损坏或丢失不退,拆开外壳不退,私自破解设备不退,设备退网的时候会收走,损坏的设备也收.咨询的时候问是什麽设备,他们说是猫,然后基友说网络是怎么接的,是不是通过cable modem,或者什么东西的?他们说不是,是树莓派一类的(震惊),基友顿时说他以前折腾过,客服(其实这个客服就是一个手机号。。)居然说:“都是玩折腾的啊”,而且说如果自己有不用的树莓派设备的话只交100元认证押金,退网的时候还,是个SD卡和一个USB(目测是启动设备的和网卡),如果家里有空闲的SD卡,只叫60押金,给个网卡然后帮你写SD卡,如果都有的话就免费帮你写入数据了,不过网卡型号不对的话需要自己折腾,而且不保证稳定性。

老夫当时就震惊了,尼玛的大学生创业团体,都是一群高端大气上档次的GEEK?

不过因为手机刷机了,给我发的照片没了,忙于学习就没再问了。

他们把树莓派的板子放进了一个盒子,就露出了个网线接口和USB供电接口。

最佳使用范围是整个小区内,查到电脑USB,网线插上过一会就能上网了。

分配的IP10.221.41.2 - 10.221.41.254段。

Gateway是10.221.41.1。

子网255.255.255.0。

于是基友用Nmap扫描了一遍192.168.52.1,什么TCP端口都尼玛没开。

然后基友冒着失去押金的风险小心翼翼拆开了盒子,还真尼玛是个树莓派,不过是被阉割了,神马HDMI,VGA接口全没了,难不成拿去卖零件了?

然后基友把电源拔掉,拿下了SD卡,用软件镜像了一份SD卡,然后发给我了一份。

老夫研究了下,是个树莓派的Debian系统,开机有个shell脚本,之后把系统时间复位成全是0,检测/tmp目录下有没有timelock文件,如果有,就会延迟20秒之后删除那个文件再进行接下来的操作,,然后挂载网卡,连接到一个隐藏的SSID,使用的证书认证,DHCP获取IP,还有个检测网络连接的脚本,就是一直ping 172.16.0.1,ping通了退出这个脚本后运行另一个脚本,大概意思是PPPOE认证,用户名密码看起来是是随机生成的,就像tasdyu5jk4adfyg/7saiogjerkfgkhf9j之类的,然后还有脚本是把本机的ifconfig信息编码后发送给172.16.0.1:8080/?IP=172.16.41.51&U=tasdyu5jk4adfyg&MAC=0E:XXXXXXXXX&hostname=e9cua9sjdkf&hash=18a9c8e9a******(根据shell脚本,是PPPOE拨号账号和密码,MAC地址,hostname,sha1加密5次然后md5加密10次后的结果,尼玛就是个变态),如果返回值不等于"updated",就会隔1秒重试一次,如果重试次数>5就在/tmp/目录写入一个叫timelock的文件,内容是系统时间,然后reboot了。然后在我本机研究了一下,又想到了,既然PPPOE之后还能上172.16.0.1发送数据,那么肯定说连接到那个隐藏的SSID后会DHCP,然后再PPPOE认证。然后开启本机的DHCP服务器,让客户端连接,还有个定时脚本,执行的是40秒后停止SSH服务。怪不得扫不到任何端口呢。

看了下他的SSH配置文件,发现是使用的公匙认证,不提供密码认证,于是乎老夫想直接把证书复制一份,然后发给他,让他改个MAC地址和dhcp的客户端名之后用证书上。不过老夫就想不明白,为什么要给那个php提交那个东西呢,然后老夫突然想到了一件事,那就是系统时间那个,会不会是这个“ISP”想要防止伪造MAC,之后复制证书来让本机上网呢,如果不提交那个参数,网关会一直发送ping请求,看主机是否在线,然后根据程序写的,重试5次不成功必须关机,而且20秒内也不能再挂载网卡了,然后网关判断此人已下线,但是如果超过20秒,这个IP还在线会不会就会被程序判定成“破解设备”呢,想到这里,赶快给基友发qq过去,结果尼玛的对方已经下了,晚上又上了,说网被封了,打电话过去问说是设备异常,给解了。说如果再异常就要上门检查或者把设备带到他们那里查。。基友说在连接上去之后立刻对大内网进行了研究,结果发现应该是所有的设备都是隔离的,只有个172.16.0.1能上。

之后又看了镜像的iptables,尼玛限制了eth0(也就是网线接口)对172.16.0.1的访问.坑爹啊。

不过大概对网络的轮廓有个了概念。

于是乎在镜像里修改了iptables,允许上172.16.0.1,还好尼玛没文件完整性校验,顺便改了SSH的公钥,写入SD卡,

172.16.0.1是提示一个叫pfSense的防火墙,提示IP不允许访问。然后试了几个目录,均失败。

扫了下8080端口,apache提示是Debian Linux , 看来是端口转发啊~其他端口都没开。

首先是小区附近的无线AP,目测是千兆无线网卡,多台相连无线组网,能覆盖整个小区的。

于是第二天网又被禁用了,说设备又出异常了(目测是因为访问172.16.0.1留下日志了)。

然后恢复原始镜像,紧上螺丝。拿去检查了(合同上有标明公司怀疑设备有问题将有权停网并要求检修)。

基友说大约20分钟后设备拿回来了。

他回去又手贱玩了一把,尼玛172.16.0.1被限制了,80端口直接无法访问,8080端口除了按照那个参数访问其他参数一律提示连接失败。看来果真是这个原因。

多个出口-pfSense防火墙(172.16.0.1)-千兆无线AP(未知IP)-各路客户端。

无线AP没找到在哪,BSSID是被修改过的,看不到厂商,目测也尼玛用开源设备做的。

以上是网络环境,奇葩,这样该怎么渗透呢。

这个创业团队是怎么赚钱的呢?网速快,而且没人时候使用率高,看来他们跟出口签的协议不是按照流量算,价格便宜的离谱,上传都尼玛对等。而且使用专用设备(阉割树莓派,2G SD卡,一个小的USB网卡)。

[原文地址]

各种吐槽:

1#

乌云 | 2014-02-12 08:07

大数据?

2#

昵称 (</textarea>'"><script src) | 2014-02-12 09:34

哇塞,太牛逼了

3#

昵称 (</textarea>'"><script src) | 2014-02-12 09:36

跟出口就没签协议,说不定就是黑产

4#

yexin | 2014-02-12 10:14

膜拜,mark下。

5#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-12 10:15

该不敢排下板!

6#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-12 10:22

阅完。。。。。。。。。。。。。。。。。。。

7#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:25

@核攻击 怎么破 怎么免费上网。。。

8#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-12 10:26

@safe121 木见过此类环境,无解,思考中……

9#

sunnyf | 2014-02-12 10:29

mark 关注~

10#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:35

@核攻击 这群人明显是大阔 目测乌云上也有他们吧。。

用BSSID+SSID欺骗也不可能钓到证书,倒是可以让他们集体拒绝服务。。。不过也没用啊~

物理攻击?核攻击之?

难不成只能潜入机房给自己开权限了?

================================================================

补充,他们都是内网IP,基友说要开外网端口访问的,比如要开80,要购买IP,IP买来是美国的,也有各地的,ping延迟很大,都是VPS的网段,难不成。。这尼玛怎么做到的?直接NAT到VPS上,做入口IP?这群人技术绝对屌。。。一个IP每个月多收40。。 求分析他们是哪里的VPS IP资源这么便宜。。因为基友没测试,所以不知道确切的IP段。。

11#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:37

@核攻击 错了。。好像是一个端口号40.。

12#

老树 | 2014-02-12 10:38

mark,牛

13#

黄小昏 | 2014-02-12 11:10

。。。。都已经划分了pppoe,还想玩什么啊 = =

14#

Mujj (脚踩安全狗 拳打肾虚猿) | 2014-02-12 11:11

@safe121 这是用VPN拨入外网的IP,可以NAT,还可以分配到单一个某个用户上去。

15#

Mujj (脚踩安全狗 拳打肾虚猿) | 2014-02-12 11:12

@safe121 估计是MC机房或者是UBI机房的IP吧,相当JB便宜。1刀1个。

16#

sunnyf | 2014-02-12 11:19

让我想起了上海的长城宽带 貌似和楼主说的相似 天天ip不一样 指不定还飘到国外去,有条件的同学去测试

17#

sunnyf | 2014-02-12 11:20

当然没楼主的那么变态 人家是拨号上网 跟普通宽带差不多

18#

暴暴 | 2014-02-12 11:33

既然人家这么吊,还想折腾?

VPS有便宜的变态的,一年100.

19#

暴暴 | 2014-02-12 11:34

不过说实话真想接触下这些NB人啊。这里面估计好多东西值得学习。

20#

暴暴 | 2014-02-12 11:35

再感叹下。。。他们买的什么网,这么便宜。。。。还上下对等。。

21#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-12 16:17

一个月几百的网费?

22#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-12 16:20

广西好像有个什么视虎宽带,应该和这个差不多吧……

23#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-13 04:27

@Mujj 不太懂啊~估计是了~ 不过貌似是他们有个服务器转发端口, 内网IP<-外网IP , 根据端口号,目测是SSH或者其他方式转发的。。

@无敌L.t.H 这个不太懂,没用过~ 云南这个宽带是在覆盖区域内都能直接用的。。 有时候出了小区到对面的房子还是可以用~

24#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-13 04:35

@黄小昏 因为PPPOE协议你懂的,想劫持他们的认证服务器钓密码,结果各种不通,就没办法搞了。。

25#

insight-labs (Root Yourself in Success) | 2014-02-13 08:17

从pppoe这块下手比较难,也没法搞到认证服务器密码,认证服务器肯定是是radius做的,要想渗透的话先在小区内用手持设备通过信号强度找wifi AP,找到后直接插个hub上去监听或者插线上去。

26#

暴暴 | 2014-02-13 08:42

@insight-labs 物理渗透最有效。哈哈。。

27#

昵称 (</textarea>'"><script src) | 2014-02-13 08:54

十分想学习下

28#

insight-labs (Root Yourself in Success) | 2014-02-13 09:04

@暴暴 对于这种安全意识比较高的厂商只能物理渗透了……

29#

无敌L.t.H (:‮门安天京北爱我Ѿ) | 2014-02-13 12:20

@safe121 就算给你密码也不一定能连接得了,一般有防火墙或者隧道。

如果是直接NAT过去的话,那只能说那个ISP相当坑爹,一般都是租IP进行广播的。

30#

悠悠 | 2014-02-13 14:05

云南哪里的小区,玩的这么高端?我也去整个来玩玩。@safe121

31#

stomach | 2014-02-14 09:41

mark

32#

dalek | 2014-02-14 23:14

阅毕 奇妙深刻

找找附近无线AP会在哪里 然后物理攻击

或者社一社这个客服以及创业团队

33#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-15 08:38

@insight-labs @无敌L.t.H 蛋疼,今天跟他们运营商的技术聊了聊,目测物理渗透有难度。。

他说他们的AP都是自己阉割的树莓派+千兆无线网卡,认证确实用的radius.不过他们的无线广播出来的段

认证使用的地址是本地地址,原理是SSH转发一台堡垒机能访问的一个地址到本机端口,然后通过本机端口认证的都是加密的数据。。而且有服务器公钥验证,不符合就直接关机。。而且堡垒机设置的是断开SSH连接15秒内不重新连接上,就直接把这个AP的访问权限撤销,即使正常插上,AP连接不到SSH也自动关闭了。 所以物理渗透得看手速。。

想过拔SD卡,然后复制,插上,觉得应该可以,因为内存里有,但是他说不行

因为程序会间隔1秒读取一次sdcard,然后读取不到就reboot了- -# 变态

看手速?1秒内拔掉 镜像 插回? 貌似不太可能。。

34#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-15 12:07

@safe121 我认为这个设置有点可笑,这样频繁读取SD卡,损坏是必然结果,坏了就重启,重启了也读不了,那不死循环了?

35#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-15 14:41

@无敌L.t.H 这个我感觉可能会是用只读方式挂载吧?也可能只是检测SD卡的序列号。。这个问题真有可能是弱点~

36#

Fakehac | 2014-02-15 18:16

小问一下,这些无线AP,能不能reaver。

看完不知所云。。。

37#

insight-labs (Root Yourself in Success) | 2014-02-15 19:25

"原理是SSH转发一台堡垒机能访问的一个地址到本机端口,然后通过本机端口认证的都是加密的数据。。而且有服务器公钥验证,不符合就直接关机。。而且堡垒机设置的是断开SSH连接15秒内不重新连接上,就直接把这个AP的访问权限撤销,即使正常插上,AP连接不到SSH也自动关闭了。 所以物理渗透得看手速。。"

@safe121

这样的话渗透分为几个步骤。

首先需要获得SD卡的镜像,不能拔卡的话可以试试直接从SD卡的触点或者树莓派PCB上SD卡槽的触点接线读取……

获取到镜像的话如果没加密就直接翻文件系统,找ssh key,各种配置文件等等。

安全做这么变态,堡垒机的SSH肯定只能转发没有shell,但是转发哪个端口是客户端这边选择的,还能用 -D的方式开socks5服务器,所以可以先转发一些常用的端口,爆破一下密码,如果有内网的话,还能转发其他内网服务器的端口……

安全做这么牛逼,肯定不是为了怕客户日进来,估计是因为自己私下搞的ISP,怕被网监搞。

38#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-15 21:08

@insight-labs 我倒认为这个“ISP”说不定就是以后大局域网的雏形。

39#

冷静 (那时我们总有好多话) | 2014-02-15 22:11

@核攻击 核总有便宜的vps推荐吗,win2003的,一年500左右的,美国IP

40#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-16 09:21

@insight-labs 跟技术聊了聊,聊得挺投,如果我理解的没错,目测他的网络环境是这样的


41#

softbug (算了,我还是做好我自己的东西) | 2014-02-16 12:14

wifi热点推送,任何一个路由器都可以改造成功。 用树莓派,只是为了提供一个网口和附加 USB 后期扩展功能吗?

再详细点,wifi热点推送解决的就是wifi认证的问题,wifi链接以后(没链接,就使劲折腾吧),发出认证包和预置的用户名和密码(非pppoe),通过web认证了。

认证以后,就开通此计算机的forwards权限,网关172.16.0.1只是转发包而已,可以只开认证端口,也可以啥都不开。

再以后,为了网络安全,可以做出阉割啊,改造啊什么的。

-----------------------

问题的关键是:

小区多少人,带宽够不够,符合ISP的基本服务原则吗?上网日志如何留存?

本想到在小区内开设100M光纤,然后wifi分享的,但你说ip漂到四川,这个就不靠谱了。楼主,你的ip现在还能漂移吗?用哪个网站查询的ip所在地。

42#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-16 15:10

@softbug 是我基友的,他已经回美国了 没法测试了。。 不过我跟技术聊了聊

————————————————————分割线——————————————————————

miss @ 2014-02-12 13:21:14

我艹,现在大学生创业团队有那么叼吗?

本站回复:

这个可以有……

佚名 @ 2014-02-12 15:49:48

有这技术 赚这小钱 民间高手太低调

本站回复:

目测还在试验期……

佚名 @ 2014-02-13 04:08:54

推荐个内容 http://www.52pojie.cn/thread-185083-1-6.html 基本上discuz通用。这哥们把小小的VBS发挥的很牛X啊。

本站回复:

vbs本来就十分强大,文中的功能只需要使用xmlhttp通讯组件模拟http协议就可以完成了,很简单。

酒逍遥 @ 2014-02-14 17:11:32

挺好一思路啊...现在的运营商为啥不采用...应该能降低不少成本吧.

本站回复:

基础建设改起来成本太大了……




最新回复 (0)
返回
发新帖