一基友再遇奇葩无线网络环境，顺便求二级/三级/四级ISP的盈利方式？

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 07:37

话说今年春节的时候，老夫一基友同学回国过年了，他家在云南，由于彼此之间有5年的深交（想歪的面壁去），遂讨论了一些事情，其中包括他老家的网络。

首先，他老家没网，因为他老家城市比较小，网没多少人用，都认为没必要花一个月几百的网费上网，而且还是ADSL，于是乎其小区推出了小区网络套餐。（随后知道是当地的一个大学生创业团体跟小区物业合作的）。

价格呢，６０元包月，下载速度保证4M，上传速度貌似对等（未经证实，他这么说的，FTP上传能到400kb/s）。

其中还有8M，10M，20M，50M包月，还有走流量收费的。

但是据他说，他家宽带在人少的时候下载能飙到1-2MB/s，趁这个机会下载，早晨人多的时候立刻网速就降掉400kb/s (之后才知道是他们小区运营商开了动态分配功能，就是保证你下载速度400，网络资源大的时候自动弹性调节网速，业界良心啊)。

出口的IP很多都是公司,学校的网络。

什么云南大学，XX公司，甚至有一次IP跳到四川了，路由跟踪也是走的四川的路由，不得其解，按照大学生创业团体的资金不可能拉专线。

办网的时候，要交一个叫做：“设备租用费的”的一次性费用，大概是300元的押金，设备损坏或丢失不退，拆开外壳不退，私自破解设备不退，设备退网的时候会收走，损坏的设备也收.咨询的时候问是什麽设备，他们说是猫，然后基友说网络是怎么接的，是不是通过cable modem，或者什么东西的？他们说不是，是树莓派一类的（震惊），基友顿时说他以前折腾过，客服(其实这个客服就是一个手机号。。)居然说：“都是玩折腾的啊”，而且说如果自己有不用的树莓派设备的话只交100元认证押金，退网的时候还，是个SD卡和一个USB（目测是启动设备的和网卡），如果家里有空闲的SD卡，只叫60押金，给个网卡然后帮你写SD卡，如果都有的话就免费帮你写入数据了，不过网卡型号不对的话需要自己折腾，而且不保证稳定性。

老夫当时就震惊了，尼玛的大学生创业团体，都是一群高端大气上档次的GEEK？

不过因为手机刷机了，给我发的照片没了，忙于学习就没再问了。

他们把树莓派的板子放进了一个盒子，就露出了个网线接口和USB供电接口。

最佳使用范围是整个小区内，查到电脑USB，网线插上过一会就能上网了。

分配的IP10.221.41.2 - 10.221.41.254段。

Gateway是10.221.41.1。

子网255.255.255.0。

于是基友用Nmap扫描了一遍192.168.52.1，什么TCP端口都尼玛没开。

然后基友冒着失去押金的风险小心翼翼拆开了盒子，还真尼玛是个树莓派，不过是被阉割了，神马HDMI，VGA接口全没了，难不成拿去卖零件了？

然后基友把电源拔掉，拿下了SD卡，用软件镜像了一份SD卡，然后发给我了一份。

老夫研究了下，是个树莓派的Debian系统，开机有个shell脚本，之后把系统时间复位成全是0，检测/tmp目录下有没有timelock文件，如果有，就会延迟20秒之后删除那个文件再进行接下来的操作，，然后挂载网卡，连接到一个隐藏的SSID，使用的证书认证，DHCP获取IP，还有个检测网络连接的脚本，就是一直ping 172.16.0.1，ping通了退出这个脚本后运行另一个脚本，大概意思是PPPOE认证，用户名密码看起来是是随机生成的，就像tasdyu5jk4adfyg/7saiogjerkfgkhf9j之类的，然后还有脚本是把本机的ifconfig信息编码后发送给172.16.0.1:8080/?IP=172.16.41.51&U=tasdyu5jk4adfyg&MAC=0E:XXXXXXXXX&hostname=e9cua9sjdkf&hash=18a9c8e9a******(根据shell脚本，是PPPOE拨号账号和密码，MAC地址，hostname，sha1加密5次然后md5加密10次后的结果，尼玛就是个变态)，如果返回值不等于"updated"，就会隔1秒重试一次，如果重试次数>5就在/tmp/目录写入一个叫timelock的文件，内容是系统时间，然后reboot了。然后在我本机研究了一下，又想到了，既然PPPOE之后还能上172.16.0.1发送数据，那么肯定说连接到那个隐藏的SSID后会DHCP，然后再PPPOE认证。然后开启本机的DHCP服务器，让客户端连接，还有个定时脚本，执行的是40秒后停止SSH服务。怪不得扫不到任何端口呢。

看了下他的SSH配置文件，发现是使用的公匙认证，不提供密码认证，于是乎老夫想直接把证书复制一份，然后发给他，让他改个MAC地址和dhcp的客户端名之后用证书上。不过老夫就想不明白，为什么要给那个php提交那个东西呢，然后老夫突然想到了一件事，那就是系统时间那个，会不会是这个“ISP”想要防止伪造MAC，之后复制证书来让本机上网呢，如果不提交那个参数，网关会一直发送ping请求，看主机是否在线，然后根据程序写的，重试5次不成功必须关机，而且20秒内也不能再挂载网卡了，然后网关判断此人已下线，但是如果超过20秒，这个IP还在线会不会就会被程序判定成“破解设备”呢，想到这里，赶快给基友发qq过去，结果尼玛的对方已经下了，晚上又上了，说网被封了，打电话过去问说是设备异常，给解了。说如果再异常就要上门检查或者把设备带到他们那里查。。基友说在连接上去之后立刻对大内网进行了研究，结果发现应该是所有的设备都是隔离的，只有个172.16.0.1能上。

之后又看了镜像的iptables，尼玛限制了eth0(也就是网线接口)对172.16.0.1的访问.坑爹啊。

不过大概对网络的轮廓有个了概念。

于是乎在镜像里修改了iptables,允许上172.16.0.1,还好尼玛没文件完整性校验，顺便改了SSH的公钥，写入SD卡，

172.16.0.1是提示一个叫pfSense的防火墙，提示IP不允许访问。然后试了几个目录，均失败。

扫了下8080端口，apache提示是Debian Linux , 看来是端口转发啊～其他端口都没开。

首先是小区附近的无线AP，目测是千兆无线网卡，多台相连无线组网，能覆盖整个小区的。

于是第二天网又被禁用了，说设备又出异常了（目测是因为访问172.16.0.1留下日志了）。

然后恢复原始镜像，紧上螺丝。拿去检查了（合同上有标明公司怀疑设备有问题将有权停网并要求检修）。

基友说大约20分钟后设备拿回来了。

他回去又手贱玩了一把，尼玛172.16.0.1被限制了，80端口直接无法访问，8080端口除了按照那个参数访问其他参数一律提示连接失败。看来果真是这个原因。

多个出口-pfSense防火墙(172.16.0.1)-千兆无线AP(未知IP)-各路客户端。

无线AP没找到在哪，BSSID是被修改过的，看不到厂商，目测也尼玛用开源设备做的。

以上是网络环境，奇葩，这样该怎么渗透呢。

这个创业团队是怎么赚钱的呢？网速快，而且没人时候使用率高，看来他们跟出口签的协议不是按照流量算，价格便宜的离谱，上传都尼玛对等。而且使用专用设备（阉割树莓派，2G SD卡，一个小的USB网卡）。

[原文地址]

各种吐槽：

1#

乌云 | 2014-02-12 08:07

大数据?

2#

昵称 (</textarea>'"><script src) | 2014-02-12 09:34

哇塞，太牛逼了

3#

昵称 (</textarea>'"><script src) | 2014-02-12 09:36

跟出口就没签协议，说不定就是黑产

4#

yexin | 2014-02-12 10:14

膜拜，mark下。

5#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-02-12 10:15

该不敢排下板！

6#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-02-12 10:22

阅完。。。。。。。。。。。。。。。。。。。

7#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:25

@核攻击 怎么破 怎么免费上网。。。

8#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2014-02-12 10:26

@safe121 木见过此类环境，无解，思考中……

9#

sunnyf | 2014-02-12 10:29

mark 关注~

10#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:35

@核攻击 这群人明显是大阔 目测乌云上也有他们吧。。

用BSSID+SSID欺骗也不可能钓到证书，倒是可以让他们集体拒绝服务。。。不过也没用啊～

物理攻击？核攻击之？

难不成只能潜入机房给自己开权限了？

================================================================

补充，他们都是内网IP，基友说要开外网端口访问的，比如要开80，要购买IP，IP买来是美国的，也有各地的，ping延迟很大，都是VPS的网段，难不成。。这尼玛怎么做到的？直接NAT到VPS上，做入口IP？这群人技术绝对屌。。。一个IP每个月多收40。。 求分析他们是哪里的VPS IP资源这么便宜。。因为基友没测试，所以不知道确切的IP段。。

11#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-12 10:37

@核攻击 错了。。好像是一个端口号40.。

12#

老树 | 2014-02-12 10:38

mark，牛

13#

黄小昏 | 2014-02-12 11:10

。。。。都已经划分了pppoe，还想玩什么啊 = =

14#

Mujj (脚踩安全狗 拳打肾虚猿) | 2014-02-12 11:11

@safe121 这是用VPN拨入外网的IP，可以NAT，还可以分配到单一个某个用户上去。

15#

Mujj (脚踩安全狗 拳打肾虚猿) | 2014-02-12 11:12

@safe121 估计是MC机房或者是UBI机房的IP吧，相当JB便宜。1刀1个。

16#

sunnyf | 2014-02-12 11:19

让我想起了上海的长城宽带 貌似和楼主说的相似 天天ip不一样 指不定还飘到国外去，有条件的同学去测试

17#

sunnyf | 2014-02-12 11:20

当然没楼主的那么变态 人家是拨号上网 跟普通宽带差不多

18#

暴暴 | 2014-02-12 11:33

既然人家这么吊，还想折腾？

VPS有便宜的变态的，一年100.

19#

暴暴 | 2014-02-12 11:34

不过说实话真想接触下这些NB人啊。这里面估计好多东西值得学习。

20#

暴暴 | 2014-02-12 11:35

再感叹下。。。他们买的什么网，这么便宜。。。。还上下对等。。

21#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-12 16:17

一个月几百的网费？

22#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-12 16:20

广西好像有个什么视虎宽带，应该和这个差不多吧……

23#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-13 04:27

@Mujj 不太懂啊～估计是了～ 不过貌似是他们有个服务器转发端口， 内网IP<-外网IP ， 根据端口号，目测是SSH或者其他方式转发的。。

@无敌L.t.H 这个不太懂，没用过～ 云南这个宽带是在覆盖区域内都能直接用的。。 有时候出了小区到对面的房子还是可以用~

24#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-13 04:35

@黄小昏 因为PPPOE协议你懂的，想劫持他们的认证服务器钓密码，结果各种不通，就没办法搞了。。

25#

insight-labs (Root Yourself in Success) | 2014-02-13 08:17

从pppoe这块下手比较难，也没法搞到认证服务器密码，认证服务器肯定是是radius做的，要想渗透的话先在小区内用手持设备通过信号强度找wifi AP，找到后直接插个hub上去监听或者插线上去。

26#

暴暴 | 2014-02-13 08:42

@insight-labs 物理渗透最有效。哈哈。。

27#

昵称 (</textarea>'"><script src) | 2014-02-13 08:54

十分想学习下

28#

insight-labs (Root Yourself in Success) | 2014-02-13 09:04

@暴暴 对于这种安全意识比较高的厂商只能物理渗透了……

29#

无敌L.t.H (:‮门安天京北爱我Ѿ) | 2014-02-13 12:20

@safe121 就算给你密码也不一定能连接得了，一般有防火墙或者隧道。

如果是直接NAT过去的话，那只能说那个ISP相当坑爹，一般都是租IP进行广播的。

30#

悠悠 | 2014-02-13 14:05

云南哪里的小区，玩的这么高端？我也去整个来玩玩。@safe121

31#

stomach | 2014-02-14 09:41

mark

32#

dalek | 2014-02-14 23:14

阅毕 奇妙深刻

找找附近无线AP会在哪里 然后物理攻击

或者社一社这个客服以及创业团队

33#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-15 08:38

@insight-labs @无敌L.t.H 蛋疼，今天跟他们运营商的技术聊了聊，目测物理渗透有难度。。

他说他们的AP都是自己阉割的树莓派+千兆无线网卡，认证确实用的radius.不过他们的无线广播出来的段

认证使用的地址是本地地址，原理是SSH转发一台堡垒机能访问的一个地址到本机端口，然后通过本机端口认证的都是加密的数据。。而且有服务器公钥验证，不符合就直接关机。。而且堡垒机设置的是断开SSH连接15秒内不重新连接上，就直接把这个AP的访问权限撤销，即使正常插上，AP连接不到SSH也自动关闭了。 所以物理渗透得看手速。。

想过拔SD卡，然后复制，插上，觉得应该可以，因为内存里有，但是他说不行

因为程序会间隔1秒读取一次sdcard，然后读取不到就reboot了- -# 变态

看手速？1秒内拔掉 镜像 插回？ 貌似不太可能。。

34#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-15 12:07

@safe121 我认为这个设置有点可笑，这样频繁读取SD卡，损坏是必然结果，坏了就重启，重启了也读不了，那不死循环了？

35#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-15 14:41

@无敌L.t.H 这个我感觉可能会是用只读方式挂载吧？也可能只是检测SD卡的序列号。。这个问题真有可能是弱点～

36#

Fakehac | 2014-02-15 18:16

小问一下，这些无线AP，能不能reaver。

看完不知所云。。。

37#

insight-labs (Root Yourself in Success) | 2014-02-15 19:25

"原理是SSH转发一台堡垒机能访问的一个地址到本机端口，然后通过本机端口认证的都是加密的数据。。而且有服务器公钥验证，不符合就直接关机。。而且堡垒机设置的是断开SSH连接15秒内不重新连接上，就直接把这个AP的访问权限撤销，即使正常插上，AP连接不到SSH也自动关闭了。 所以物理渗透得看手速。。"

@safe121

这样的话渗透分为几个步骤。

首先需要获得SD卡的镜像，不能拔卡的话可以试试直接从SD卡的触点或者树莓派PCB上SD卡槽的触点接线读取……

获取到镜像的话如果没加密就直接翻文件系统，找ssh key，各种配置文件等等。

安全做这么变态，堡垒机的SSH肯定只能转发没有shell，但是转发哪个端口是客户端这边选择的，还能用 -D的方式开socks5服务器，所以可以先转发一些常用的端口，爆破一下密码，如果有内网的话，还能转发其他内网服务器的端口……

安全做这么牛逼，肯定不是为了怕客户日进来，估计是因为自己私下搞的ISP，怕被网监搞。

38#

无敌L.t.H (:?门安天京北爱我?) | 2014-02-15 21:08

@insight-labs 我倒认为这个“ISP”说不定就是以后大局域网的雏形。

39#

冷静 (那时我们总有好多话) | 2014-02-15 22:11

@核攻击 核总有便宜的vps推荐吗,win2003的,一年500左右的,美国IP

40#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-16 09:21

@insight-labs 跟技术聊了聊，聊得挺投，如果我理解的没错，目测他的网络环境是这样的

41#

softbug (算了，我还是做好我自己的东西) | 2014-02-16 12:14

wifi热点推送，任何一个路由器都可以改造成功。 用树莓派，只是为了提供一个网口和附加 USB 后期扩展功能吗？

再详细点，wifi热点推送解决的就是wifi认证的问题，wifi链接以后（没链接，就使劲折腾吧），发出认证包和预置的用户名和密码（非pppoe),通过web认证了。

认证以后，就开通此计算机的forwards权限，网关172.16.0.1只是转发包而已，可以只开认证端口，也可以啥都不开。

再以后，为了网络安全，可以做出阉割啊，改造啊什么的。

-----------------------

问题的关键是：

小区多少人，带宽够不够，符合ISP的基本服务原则吗？上网日志如何留存？

本想到在小区内开设100M光纤，然后wifi分享的，但你说ip漂到四川，这个就不靠谱了。楼主，你的ip现在还能漂移吗？用哪个网站查询的ip所在地。

42#

safe121 (Great Leader Kim Jong-Un General Long Live!!!) | 2014-02-16 15:10

@softbug 是我基友的，他已经回美国了 没法测试了。。 不过我跟技术聊了聊

————————————————————分割线——————————————————————

miss @ 2014-02-12 13:21:14

我艹，现在大学生创业团队有那么叼吗？

本站回复：

这个可以有……

佚名 @ 2014-02-12 15:49:48

有这技术 赚这小钱 民间高手太低调

本站回复：

目测还在试验期……

佚名 @ 2014-02-13 04:08:54

推荐个内容 http://www.52pojie.cn/thread-185083-1-6.html 基本上discuz通用。这哥们把小小的VBS发挥的很牛X啊。

本站回复：

vbs本来就十分强大，文中的功能只需要使用xmlhttp通讯组件模拟http协议就可以完成了，很简单。

酒逍遥 @ 2014-02-14 17:11:32

挺好一思路啊...现在的运营商为啥不采用...应该能降低不少成本吧.

本站回复：

基础建设改起来成本太大了……