V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CC11001100
V2EX  ›  分享发现

CMCC 认证绕过 POC

  •  
  •   CC11001100 · 163 天前 · 1240 次点击
    这是一个创建于 163 天前的主题,其中的信息可能已经有所发展或是发生改变。

    仓库地址: https://github.com/wireless-sec/cmcc-bypass-poc

    在此处备份一下大学的时候发现过的一个 CMCC 的漏洞,已经是一个过时的漏洞,谨以此纪念。

    原理就是 CMCC 刚连接上去的时候会有一瞬间不需要认证就能上网(大概十年前,2013 年左右的时候),所以就用脚本来一直不断的模拟连接、断开,试图去嫖那刚连接上一瞬间的流量积少成多,打开网页,看看视频啥的问题不大,我们几个屌丝靠这个洞渡过不少交不起网费的日子,哈哈哈。


    备份自: https://www.cnblogs.com/cc11001100/p/8100247.html

    大学的时候无意间发现绕过 CMCC 验证的方法(贫穷使人进步...),写了段 POC 脚本,时过两年,漏洞应该已经失效了(我猜 --),刚刚发现有人私信问我要,都那么久了鬼还记得写的什么啊,但确实看到了又不能当做没看到,只好在以前电脑翻了一阵,想了一下,还是贴在这里备份一下,毕竟我也是发现过漏洞的男人....

    作用为连接 CMCC 无需验证即上网,缺陷是这样得到的网络并不稳定,其实挺鸡肋的,语言为 Windows 下的脚本语言 bat:

    @echo off
    title FREE LUNCH
    :loop   
     
        cls
     
        REM 丧心病狂的转义符
        ^e^c^h^o^.
        ^e^c^h^o^ ^ ^ ^ ^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^.^-^~^~^~^~^-^.^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^/^ ^_^_^ ^ ^ ^ ^ ^\^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^ ^/^ ^ ^\^ ^ ^/^ ^ ^`^~^~^~^~^~^-^.^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^|^ ^ ^ ^ ^|^ ^ ^0^ ^ ^ ^ ^ ^ ^ ^ ^ ^@^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^|^ ^ ^ ^ ^|^ ^ ^_^.^ ^ ^ ^ ^ ^ ^ ^ ^|^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^\^|^ ^ ^ ^ ^|^ ^ ^ ^\^ ^ ^ ^ ^ ^ ^ ^/^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^\^ ^ ^ ^ ^/^ ^ ^/^`^~^~^~^~^~^~^`^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^(^'^-^-^'^"^"^`^)^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^/^`^"^"^"^"^"^`^\^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^假^装^世^界^很^美^好^,^然^后^为^之^奋^斗^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^-^-^-^-^-^-^-^-^ ^b^y^ ^c^c^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o
        ^e^c^h^o^ ^ ^ ^ ^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o
     
        REM the core code
        ipconfig /release >> nul
        ipconfig /renew >> nul
        ping 127.0.0.1 -n 8 >> nul
         
    goto :loop
     
    REM hack by cc
    REM 2016-5-8 11:26:1
    

    效果演示视频地址: http://v.youku.com/v_show/id_XMTYwMTU2ODU0OA==.html

    仓库地址: https://github.com/wireless-sec/cmcc-bypass-poc

    8 条回复    2024-06-19 23:36:53 +08:00
    kuanat
        1
    kuanat  
       163 天前
    厉害啊哈哈
    CC11001100
        2
    CC11001100  
    OP
       163 天前
    @kuanat 哈哈哈谢谢老哥,不过我至今也没搞明白是啥原理,只是无意间发现这样可以。。。捂脸。。。🙈
    kuanat
        3
    kuanat  
       163 天前
    @CC11001100 #2

    盲猜一下,估计是那个认证服务器不在内网里,所以要给一段时间让你能够打开那个认证页面,2016 年那些系统还不成熟。

    一般这种 captive portal 在出口处的防火墙默认阻止所有 ip 访问(非 mac ),通过认证的就让防火墙放行。然后一般为了减轻防火墙负担,已经建立的连接后续数据包就直接放行了。

    反复 release/renew 让你的设备在系统看来是新设备加入,清空了之前防火墙记录,你的访问( dns 请求,发起连接)能在系统预设的时间里发起,流量就能通过。

    现在的系统基本上都是绑定到 mac ,比如星巴克用的,你可以跨店免认证接入。再就是认证服务器处于内网,通过旁路连接到中央计费后台。这样就没办法流量偷跑了。
    x86
        4
    x86  
       163 天前
    当年宿舍 晚上 11 点断网,硬是靠买 cmcc 账号熬过去了
    zhangyoucaiyo
        5
    zhangyoucaiyo  
       162 天前
    想起来上大学的时候,校园网计费系统用的 DR 。每天晚上 11 点准时断网,会跳转到认证页面。学生账号晚上不允许登录认证,教师账号不影响。然后发现 53 端口是没有限制的。然后全宿舍合资买了当时网易的云服务器,ss 端口放在 53 ,愉快的度过了一个又一个晚上。
    qq135449773
        6
    qq135449773  
       162 天前
    好久没看到过 cmcc 的 wifi 了,移动这个业务是不是已经停掉了?
    michael00500011
        7
    michael00500011  
       162 天前
    @qq135449773 CMCC wifi 业务当时是因为 3g tds 实在是烂的够瞧,上网困难,于是开 wifi 业务勉强维持高密度地区覆盖(机场火车站学校等),不然别的运营商都能上网移动只能 GPRS 卡死,所以 4g 牌照发放以后,这个业务就不再继续投入了
    CC11001100
        8
    CC11001100  
    OP
       161 天前
    @zhangyoucaiyo 哈哈哈你们真机智,53 端口估计寻思着留着 DNS 解析呢结果被钻了空子啦
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1286 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 17:58 · PVG 01:58 · LAX 09:58 · JFK 12:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.