联创宽带上网助手协议的简单分析(一)start包和off包

最新推荐文章于 2022-09-04 15:41:14 发布
原创 最新推荐文章于 2022-09-04 15:41:14 发布 · 625 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#byte #authentication #c #服务器 #comments #command

本文详细解析了使用OllyDbg和Wireshark破解802.1X认证过程的方法。通过分析软件如何构造start包和off包,深入理解认证交互流程。

工具:ollydbg2.0 , Wireshark,

         步骤:

1.      软件有加壳,要先脱壳,在这里就不说了,另外写了一篇

2.      Wireshark抓包,发现用的是802.1XEAP协议,eap具体的协议结构网上有很多的

 

宽带上网助手认证网络总共要发送3个数据包,1个发起连接请求的广播start包,1identity包,在这里是用户名包,还有一个则是密码包,若认证成功则会返回success包,之后每隔一段时间服务器就发送request包,客户端回应identity包,直到用户下线或断网,下线则发生off

3.      start包和off包的构造:

OD载入脱壳后的程序,右键->search for->all intermodulelar call中找到pcap_sendpacket函数,双击来到相应的代码,向上找下就发现有4处调用这个函数,在每个函数的最开始都下断点,让程序运行起来,会发现断在第一个start包的构造函数处(因为源程序中有把状态写入日志的无关部分,所以代码有省略)

Address   Hex dump          Command                            Comments

00408AA0  /$  56            PUSH ESI                           ; 发送start包和off

00408AA1  |.  68 80000000   PUSH 80                            ; /Arg1 = 80

00408AA6  |.  E8 E3460000   CALL 0040D18E                      ; /mycrack.0040D18E

00408AB6  |>  53            PUSH EBX

00408AB7  |.  8A5C24 0C     MOV BL,BYTE PTR SS:[ARG.1]

00408ABB  |.  80FB 01       CMP BL,1

00408ABE  |.  57            PUSH EDI

00408ABF  |.  0F85 C0000000 JNE 00408B85                       ; 是否是第一个请求包arg1==1?

                                 …………………………………

00408B83  |.  EB 10         JMP SHORT 00408B95

00408B85  |>  A1 A0984100   MOV EAX,DWORD PTR DS:[4198A0]      ; off包时候的服务器mac

00408B8A  |.  8BD6          MOV EDX,ESI

00408B8C  |.  8902          MOV DWORD PTR DS:[EDX],EAX

00408B8E  |.  66:8B0D A4984 MOV CX,WORD PTR DS:[4198A4]

00408B95  |>  66:894A 04    MOV WORD PTR DS:[EDX+4],CX

00408B99  |>  E8 428AFFFF   CALL 004015E0                      ; [mycrack.004015E0

00408B9E  |.  80FB 01       CMP BL,1

00408BA1  |.  8B08          MOV ECX,DWORD PTR DS:[EAX]

00408BA3  |.  8D56 06       LEA EDX,[ESI+6]

00408BA6  |.  890A          MOV DWORD PTR DS:[EDX],ECX         ; 写入本机的MAC地址

00408BA8  |.  66:8B40 04    MOV AX,WORD PTR DS:[EAX+4]

00408BAC  |.  66:8942 04    MOV WORD PTR DS:[EDX+4],AX

00408BB0  |.  C646 0C 88    MOV BYTE PTR DS:[ESI+0C],88        ; 写入88 802.1X Authentication (0x888e)

00408BB4  |.  C646 0D 8E    MOV BYTE PTR DS:[ESI+0D],8E        ; 写入8E

00408BB8  |.  C646 0E 01    MOV BYTE PTR DS:[ESI+0E],1         ; 写入1 version

00408BBC  |.  885E 0F       MOV BYTE PTR DS:[ESI+0F],BL        ; 写入type,start1

00408BBF  |.  C646 10 00    MOV BYTE PTR DS:[ESI+10],0         ; 写入length   0

00408BC3  |.  C646 11 00    MOV BYTE PTR DS:[ESI+11],0         ; 0

00408BC7  |.  75 04         JNE SHORT 00408BCD

00408BC9  |.  6A 00         PUSH 0

00408BCB  |.  EB 06         JMP SHORT 00408BD3

00408BCD  |>  E8 EE87FFFF   CALL 004013C0                      ; [mycrack.004013C0

00408BD2  |.  50            PUSH EAX

00408BD3  |>  E8 74440000   CALL <JMP.&ws2_32.htonl>           ; Jump to ws2_32.htonl

00408BD8  |.  8B3D 68654100 MOV EDI,DWORD PTR DS:[416568]      ; ASCII "linkage"

00408BDE  |.  8D4E 12       LEA ECX,[ESI+12]

00408BE1  |.  8BD1          MOV EDX,ECX

00408BE3  |.  893A          MOV DWORD PTR DS:[EDX],EDI         ; 填入link

00408BE5  |.  8B3D 6C654100 MOV EDI,DWORD PTR DS:[41656C]      ; ASCII "age"

00408BEB  |.  6A 1E         PUSH 1E                            ; start包长度

00408BED  |.  897A 04       MOV DWORD PTR DS:[EDX+4],EDI       ; 填入agelinkagetrailer部分

00408BF0  |.  56            PUSH ESI                           ; start包地址

00408BF1  |.  8941 08       MOV DWORD PTR DS:[ECX+8],EAX

00408BF4  |.  E8 17360000   CALL 0040C210                                                 ;发送start

在这里离线包和start包差不多,就只是type处不同,startoff包的构造比较简单没有经过任何处理

SpringBoot-自定义starter
Xiong_M_DD的博客
06-20 849
、Springboot自动装配原理 我们在springboot项目的pom.xml文件中,经常看到 spring-boot-start-xxx 或者 xxx-spring-boot-starter 的依赖,那它们到底做了什么,我们自己可以动手做个吗? 在springboot中,帮我们创建了许多的自启动类,在Springboot项目运行时,自动帮助我们从配置文件中读取数据,并加载到相应的XXXProperties中,内置的XXXService服务引入properties中的属性执行业务逻辑。重要的是,
使用SpringBoot自定义starter启动,超详细
languageStudent的博客
08-19 5098
1、准备好需要生成starter的环境
spring项目中starter的原理,以及自定义starter的使用
Chenhui98的博客
09-04 1236
spring项目中starter的原理,以及自定义starter的使用
保存的start 9.10 config在eureka下的使用
qq120631157的博客
02-08 190
保存所有的start <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-XXX</artifactId> </dependency> spring-boo...
联创宽带上网助手协议简单分析() :identify的构造
02-24 569
  identify的构造过程:    去除start处的断点,重新开始程序,断在identify的构造处identify的构造:CPU DisasmAddress   Hex dump          Command                            Comments00409144  |.  66:898424 820 MOV WORD P
联创宽带上网助手协议简单分析():密码的构造过程
02-24 796
 密码的构造过程:   密码用同样的方法得到CPU DisasmAddress   Hex dump          Command                                  Comments00408E70  /$  81EC 40060000 SUB ESP,640                              ; 构造密码ORZ~~
掌握联创宽带上网助手密码读取技巧
通过上述分析,我们可以了解到,联创宽带上网助手密码读取器是款可以读取特定宽带上网助手密码的工具,它由名初学者用C语言编写的源码,该程序可能仅适用于与联创宽带上网助手配合使用。同时,文件列表中含的...
联创宽带上网助手密码读取器(附源码)
05-15
联创宽带上网助手密码读取器,把程序放到宽带上网助手目录下就可以了,忘记密码的可以用用...... 源码是C写的,因为是刚学WIN32编程时候写的,所以写的很烂...
气死电信 有时用联创宽带上网助手你登不上就改下MAC地址挺灵 Windows xp 下修改mac地址
08-07
在Windows XP操作系统下,用户可能遇到无法通过联创宽带上网助手成功连接网络的情况,这时,通过修改本地连接的MAC地址,有时可以解决这个问题。下面将详细解释MAC地址、为何需要修改以及如何在Windows XP系统中进行...
联创网络-宽带上网助手v2.320.0
12-14
学校上网助手,电信版,适用于win7系统
联创上网助手免安装版:红色版专为Windows7设计
标题中提到的"联创上网助手免安装版 红色",这里的"免安装版"指的是该软件无需进行常规的安装流程即可直接运行使用。"红色"可能是软件界面的主题颜色或者软件的特定版本标记。在IT行业中,很多软件会有不同的主题或...
Spring Boot Start方式装B指南
weixin_33890499的博客
05-07 387
项目结构如下: test:实际的代码 spring-boot-start-teststart 配置 代码详细配置如下 https://github.com/fqybzhangji/spring-boot-start 转载于:https://www.cnblogs.com/fqybzhangji/p/10824090.html...
调试器的工作原理
05-19 1624
调试器的工作原理《黑客调试技术揭秘》  理解调试器的工作原理  对调试器的工作原理毫无所知就贸
创联网络宽带上网助手的脱壳
02-24 1368
        在学校上网,用的是创联网络的宽带上网助手(版本是2.3410),好像很多学校都用它来上网,但是它的限制非常多,不能用NAT,不能用代理,不能有多IP,不能有………大堆的限制。于是,我决定就拿它开刀试试。.工具准备: 1.ollyice,貌似地球人都知道呃; 2.peid,不说了 3. ASPR脱壳脚本 4. ImportREC 5.HideToolz,隐藏进程用二.
Crackme#1
05-19 583
【文章标题】: PEDIY CRACKME#1【文章作者】: gchao【作者邮箱】: bysdy915@tom.com【软件名称】: Bigmans Crackme6【软件大小】: 7k【下载地址】: 自己搜索下载【加壳方式】: Aspack【编写语言】: vc++【使用工具】: od,peid,Aspackdie1.41【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!【详
K8s 很难么?带你从头到尾捋遍,不信你学不会
热门推荐
民工哥的博客
02-23 1万+
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6C语言基础)
北豼不太皮的博客
02-21 4298
10天智能锁项目实战第1天(了解单片机STM32F401RET6C语言基础)、学习目标二、了解单片机STM32F401RET6三、C语言基础 、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值