一基友再遇奇葩无线网络环境,顺便求二级/三级/四级ISP的盈利方式?
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 07:37
话说今年春节的时候,老夫一基友同学回国过年了,他家在云南,由于彼此之间有5年的深交(想歪的面壁去),遂讨论了一些事情,其中包括他老家的网络。
首先,他老家没网,因为他老家城市比较小,网没多少人用,都认为没必要花一个月几百的网费上网,而且还是ADSL,于是乎其小区推出了小区网络套餐。(随后知道是当地的一个大学生创业团体跟小区物业合作的)。
价格呢,60元包月,下载速度保证4M,上传速度貌似对等(未经证实,他这么说的,FTP上传能到400kb/s)。
其中还有8M,10M,20M,50M包月,还有走流量收费的。
但是据他说,他家宽带在人少的时候下载能飙到1-2MB/s,趁这个机会下载,早晨人多的时候立刻网速就降掉400kb/s (之后才知道是他们小区运营商开了动态分配功能,就是保证你下载速度400,网络资源大的时候自动弹性调节网速,业界良心啊)。
出口的IP很多都是公司,学校的网络。
什么云南大学,XX公司,甚至有一次IP跳到四川了,路由跟踪也是走的四川的路由,不得其解,按照大学生创业团体的资金不可能拉专线。
办网的时候,要交一个叫做:“设备租用费的”的一次性费用,大概是300元的押金,设备损坏或丢失不退,拆开外壳不退,私自破解设备不退,设备退网的时候会收走,损坏的设备也收.咨询的时候问是什麽设备,他们说是猫,然后基友说网络是怎么接的,是不是通过cable modem,或者什么东西的?他们说不是,是树莓派一类的(震惊),基友顿时说他以前折腾过,客服(其实这个客服就是一个手机号。。)居然说:“都是玩折腾的啊”,而且说如果自己有不用的树莓派设备的话只交100元认证押金,退网的时候还,是个SD卡和一个USB(目测是启动设备的和网卡),如果家里有空闲的SD卡,只叫60押金,给个网卡然后帮你写SD卡,如果都有的话就免费帮你写入数据了,不过网卡型号不对的话需要自己折腾,而且不保证稳定性。
老夫当时就震惊了,尼玛的大学生创业团体,都是一群高端大气上档次的GEEK?
不过因为手机刷机了,给我发的照片没了,忙于学习就没再问了。
他们把树莓派的板子放进了一个盒子,就露出了个网线接口和USB供电接口。
最佳使用范围是整个小区内,查到电脑USB,网线插上过一会就能上网了。
分配的IP10.221.41.2 - 10.221.41.254段。
Gateway是10.221.41.1。
子网255.255.255.0。
于是基友用Nmap扫描了一遍192.168.52.1,什么TCP端口都尼玛没开。
然后基友冒着失去押金的风险小心翼翼拆开了盒子,还真尼玛是个树莓派,不过是被阉割了,神马HDMI,VGA接口全没了,难不成拿去卖零件了?
然后基友把电源拔掉,拿下了SD卡,用软件镜像了一份SD卡,然后发给我了一份。
老夫研究了下,是个树莓派的Debian系统,开机有个shell脚本,之后把系统时间复位成全是0,检测/tmp目录下有没有timelock文件,如果有,就会延迟20秒之后删除那个文件再进行接下来的操作,,然后挂载网卡,连接到一个隐藏的SSID,使用的证书认证,DHCP获取IP,还有个检测网络连接的脚本,就是一直ping 172.16.0.1,ping通了退出这个脚本后运行另一个脚本,大概意思是PPPOE认证,用户名密码看起来是是随机生成的,就像tasdyu5jk4adfyg/7saiogjerkfgkhf9j之类的,然后还有脚本是把本机的ifconfig信息编码后发送给172.16.0.1:8080/?IP=172.16.41.51&U=tasdyu5jk4adfyg&MAC=0E:XXXXXXXXX&hostname=e9cua9sjdkf&hash=18a9c8e9a******(根据shell脚本,是PPPOE拨号账号和密码,MAC地址,hostname,sha1加密5次然后md5加密10次后的结果,尼玛就是个变态),如果返回值不等于"updated",就会隔1秒重试一次,如果重试次数>5就在/tmp/目录写入一个叫timelock的文件,内容是系统时间,然后reboot了。然后在我本机研究了一下,又想到了,既然PPPOE之后还能上172.16.0.1发送数据,那么肯定说连接到那个隐藏的SSID后会DHCP,然后再PPPOE认证。然后开启本机的DHCP服务器,让客户端连接,还有个定时脚本,执行的是40秒后停止SSH服务。怪不得扫不到任何端口呢。
看了下他的SSH配置文件,发现是使用的公匙认证,不提供密码认证,于是乎老夫想直接把证书复制一份,然后发给他,让他改个MAC地址和dhcp的客户端名之后用证书上。不过老夫就想不明白,为什么要给那个php提交那个东西呢,然后老夫突然想到了一件事,那就是系统时间那个,会不会是这个“ISP”想要防止伪造MAC,之后复制证书来让本机上网呢,如果不提交那个参数,网关会一直发送ping请求,看主机是否在线,然后根据程序写的,重试5次不成功必须关机,而且20秒内也不能再挂载网卡了,然后网关判断此人已下线,但是如果超过20秒,这个IP还在线会不会就会被程序判定成“破解设备”呢,想到这里,赶快给基友发qq过去,结果尼玛的对方已经下了,晚上又上了,说网被封了,打电话过去问说是设备异常,给解了。说如果再异常就要上门检查或者把设备带到他们那里查。。基友说在连接上去之后立刻对大内网进行了研究,结果发现应该是所有的设备都是隔离的,只有个172.16.0.1能上。
之后又看了镜像的iptables,尼玛限制了eth0(也就是网线接口)对172.16.0.1的访问.坑爹啊。
不过大概对网络的轮廓有个了概念。
于是乎在镜像里修改了iptables,允许上172.16.0.1,还好尼玛没文件完整性校验,顺便改了SSH的公钥,写入SD卡,
172.16.0.1是提示一个叫pfSense的防火墙,提示IP不允许访问。然后试了几个目录,均失败。
扫了下8080端口,apache提示是Debian Linux , 看来是端口转发啊~其他端口都没开。
首先是小区附近的无线AP,目测是千兆无线网卡,多台相连无线组网,能覆盖整个小区的。
于是第二天网又被禁用了,说设备又出异常了(目测是因为访问172.16.0.1留下日志了)。
然后恢复原始镜像,紧上螺丝。拿去检查了(合同上有标明公司怀疑设备有问题将有权停网并要求检修)。
基友说大约20分钟后设备拿回来了。
他回去又手贱玩了一把,尼玛172.16.0.1被限制了,80端口直接无法访问,8080端口除了按照那个参数访问其他参数一律提示连接失败。看来果真是这个原因。
多个出口-pfSense防火墙(172.16.0.1)-千兆无线AP(未知IP)-各路客户端。
无线AP没找到在哪,BSSID是被修改过的,看不到厂商,目测也尼玛用开源设备做的。
以上是网络环境,奇葩,这样该怎么渗透呢。
这个创业团队是怎么赚钱的呢?网速快,而且没人时候使用率高,看来他们跟出口签的协议不是按照流量算,价格便宜的离谱,上传都尼玛对等。而且使用专用设备(阉割树莓派,2G SD卡,一个小的USB网卡)。
各种吐槽:
1#
乌云 | 2014-02-12 08:07
大数据?
2#
昵称 (</textarea>'"><script src) | 2014-02-12 09:34
哇塞,太牛逼了
3#
昵称 (</textarea>'"><script src) | 2014-02-12 09:36
跟出口就没签协议,说不定就是黑产
4#
yexin | 2014-02-12 10:14
膜拜,mark下。
5#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-12 10:15
该不敢排下板!
6#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-12 10:22
阅完。。。。。。。。。。。。。。。。。。。
7#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:25
@核攻击 怎么破 怎么免费上网。。。
8#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-02-12 10:26
@safe121 木见过此类环境,无解,思考中……
9#
sunnyf | 2014-02-12 10:29
mark 关注~
10#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:35
@核攻击 这群人明显是大阔 目测乌云上也有他们吧。。
用BSSID+SSID欺骗也不可能钓到证书,倒是可以让他们集体拒绝服务。。。不过也没用啊~
物理攻击?核攻击之?
难不成只能潜入机房给自己开权限了?
================================================================
补充,他们都是内网IP,基友说要开外网端口访问的,比如要开80,要购买IP,IP买来是美国的,也有各地的,ping延迟很大,都是VPS的网段,难不成。。这尼玛怎么做到的?直接NAT到VPS上,做入口IP?这群人技术绝对屌。。。一个IP每个月多收40。。 求分析他们是哪里的VPS IP资源这么便宜。。因为基友没测试,所以不知道确切的IP段。。
11#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:37
@核攻击 错了。。好像是一个端口号40.。
12#
老树 | 2014-02-12 10:38
mark,牛
13#
黄小昏 | 2014-02-12 11:10
。。。。都已经划分了pppoe,还想玩什么啊 = =
14#
Mujj (脚踩安全狗 拳打肾虚猿) | 2014-02-12 11:11
@safe121 这是用VPN拨入外网的IP,可以NAT,还可以分配到单一个某个用户上去。
15#
Mujj (脚踩安全狗 拳打肾虚猿) | 2014-02-12 11:12
@safe121 估计是MC机房或者是UBI机房的IP吧,相当JB便宜。1刀1个。
16#
sunnyf | 2014-02-12 11:19
让我想起了上海的长城宽带 貌似和楼主说的相似 天天ip不一样 指不定还飘到国外去,有条件的同学去测试
17#
sunnyf | 2014-02-12 11:20
当然没楼主的那么变态 人家是拨号上网 跟普通宽带差不多
18#
暴暴 | 2014-02-12 11:33
既然人家这么吊,还想折腾?
VPS有便宜的变态的,一年100.
19#
暴暴 | 2014-02-12 11:34
不过说实话真想接触下这些NB人啊。这里面估计好多东西值得学习。
20#
暴暴 | 2014-02-12 11:35
再感叹下。。。他们买的什么网,这么便宜。。。。还上下对等。。
21#
无敌L.t.H (:?门安天京北爱我?) | 2014-02-12 16:17
一个月几百的网费?
22#
无敌L.t.H (:?门安天京北爱我?) | 2014-02-12 16:20
广西好像有个什么视虎宽带,应该和这个差不多吧……
23#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-13 04:27
@Mujj 不太懂啊~估计是了~ 不过貌似是他们有个服务器转发端口, 内网IP<-外网IP , 根据端口号,目测是SSH或者其他方式转发的。。
@无敌L.t.H 这个不太懂,没用过~ 云南这个宽带是在覆盖区域内都能直接用的。。 有时候出了小区到对面的房子还是可以用~
24#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-13 04:35
@黄小昏 因为PPPOE协议你懂的,想劫持他们的认证服务器钓密码,结果各种不通,就没办法搞了。。
25#
insight-labs (Root Yourself in Success) | 2014-02-13 08:17
从pppoe这块下手比较难,也没法搞到认证服务器密码,认证服务器肯定是是radius做的,要想渗透的话先在小区内用手持设备通过信号强度找wifi AP,找到后直接插个hub上去监听或者插线上去。
26#
暴暴 | 2014-02-13 08:42
@insight-labs 物理渗透最有效。哈哈。。
27#
昵称 (</textarea>'"><script src) | 2014-02-13 08:54
十分想学习下
28#
insight-labs (Root Yourself in Success) | 2014-02-13 09:04
@暴暴 对于这种安全意识比较高的厂商只能物理渗透了……
29#
无敌L.t.H (:门安天京北爱我Ѿ) | 2014-02-13 12:20
@safe121 就算给你密码也不一定能连接得了,一般有防火墙或者隧道。
如果是直接NAT过去的话,那只能说那个ISP相当坑爹,一般都是租IP进行广播的。
30#
悠悠 | 2014-02-13 14:05
云南哪里的小区,玩的这么高端?我也去整个来玩玩。@safe121
31#
stomach | 2014-02-14 09:41
mark
32#
dalek | 2014-02-14 23:14
阅毕 奇妙深刻
找找附近无线AP会在哪里 然后物理攻击
或者社一社这个客服以及创业团队
33#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-15 08:38
@insight-labs @无敌L.t.H 蛋疼,今天跟他们运营商的技术聊了聊,目测物理渗透有难度。。
他说他们的AP都是自己阉割的树莓派+千兆无线网卡,认证确实用的radius.不过他们的无线广播出来的段
认证使用的地址是本地地址,原理是SSH转发一台堡垒机能访问的一个地址到本机端口,然后通过本机端口认证的都是加密的数据。。而且有服务器公钥验证,不符合就直接关机。。而且堡垒机设置的是断开SSH连接15秒内不重新连接上,就直接把这个AP的访问权限撤销,即使正常插上,AP连接不到SSH也自动关闭了。 所以物理渗透得看手速。。
想过拔SD卡,然后复制,插上,觉得应该可以,因为内存里有,但是他说不行
因为程序会间隔1秒读取一次sdcard,然后读取不到就reboot了- -# 变态
看手速?1秒内拔掉 镜像 插回? 貌似不太可能。。
34#
无敌L.t.H (:?门安天京北爱我?) | 2014-02-15 12:07
@safe121 我认为这个设置有点可笑,这样频繁读取SD卡,损坏是必然结果,坏了就重启,重启了也读不了,那不死循环了?
35#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-15 14:41
@无敌L.t.H 这个我感觉可能会是用只读方式挂载吧?也可能只是检测SD卡的序列号。。这个问题真有可能是弱点~
36#
Fakehac | 2014-02-15 18:16
小问一下,这些无线AP,能不能reaver。
看完不知所云。。。
37#
insight-labs (Root Yourself in Success) | 2014-02-15 19:25
"原理是SSH转发一台堡垒机能访问的一个地址到本机端口,然后通过本机端口认证的都是加密的数据。。而且有服务器公钥验证,不符合就直接关机。。而且堡垒机设置的是断开SSH连接15秒内不重新连接上,就直接把这个AP的访问权限撤销,即使正常插上,AP连接不到SSH也自动关闭了。 所以物理渗透得看手速。。"
@safe121
这样的话渗透分为几个步骤。
首先需要获得SD卡的镜像,不能拔卡的话可以试试直接从SD卡的触点或者树莓派PCB上SD卡槽的触点接线读取……
获取到镜像的话如果没加密就直接翻文件系统,找ssh key,各种配置文件等等。
安全做这么变态,堡垒机的SSH肯定只能转发没有shell,但是转发哪个端口是客户端这边选择的,还能用 -D的方式开socks5服务器,所以可以先转发一些常用的端口,爆破一下密码,如果有内网的话,还能转发其他内网服务器的端口……
安全做这么牛逼,肯定不是为了怕客户日进来,估计是因为自己私下搞的ISP,怕被网监搞。
38#
无敌L.t.H (:?门安天京北爱我?) | 2014-02-15 21:08
@insight-labs 我倒认为这个“ISP”说不定就是以后大局域网的雏形。
39#
冷静 (那时我们总有好多话) | 2014-02-15 22:11
@核攻击 核总有便宜的vps推荐吗,win2003的,一年500左右的,美国IP
40#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-16 09:21
@insight-labs 跟技术聊了聊,聊得挺投,如果我理解的没错,目测他的网络环境是这样的
41#
softbug (算了,我还是做好我自己的东西) | 2014-02-16 12:14
wifi热点推送,任何一个路由器都可以改造成功。 用树莓派,只是为了提供一个网口和附加 USB 后期扩展功能吗?
再详细点,wifi热点推送解决的就是wifi认证的问题,wifi链接以后(没链接,就使劲折腾吧),发出认证包和预置的用户名和密码(非pppoe),通过web认证了。
认证以后,就开通此计算机的forwards权限,网关172.16.0.1只是转发包而已,可以只开认证端口,也可以啥都不开。
再以后,为了网络安全,可以做出阉割啊,改造啊什么的。
-----------------------
问题的关键是:
小区多少人,带宽够不够,符合ISP的基本服务原则吗?上网日志如何留存?
本想到在小区内开设100M光纤,然后wifi分享的,但你说ip漂到四川,这个就不靠谱了。楼主,你的ip现在还能漂移吗?用哪个网站查询的ip所在地。
42#
safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-16 15:10
@softbug 是我基友的,他已经回美国了 没法测试了。。 不过我跟技术聊了聊
留言评论(旧系统):