本帖最后由 q397064399 于 2014-9-8 14:44 编辑
上图为锐捷V3的整个握手过程
中间有一个握手包是我同寝室的
之前论坛里面有个家伙一直在想破解淘宝上一家mentohust v3的固件,搞了半天最后还是无故而终,
我想到一个办法就是直接在路由器上面代理 锐捷的8021.x包
在eth0.1 eth0.2上面分别用Libpcap抓包,然后分别代理这些包,等到认证成功后,
然后用程序把心跳包拷贝下来 每隔1分钟发送一次(按Mentohust上面的说法是1分钟一个心跳包 保持在线)
目前抓到的一些心跳包 三个不同的客户端 把mac地址替换xxxx了
1---
001aa907843axxxxxxxxxxx9888e01bf001effff37777f9fffff510fffff37777f9ffffff783ffff37777f3fff
001aa907843axxxxxxxxxxx9888e01bf001effff37777f9fffff51f7ffff37777f9ffffff703ffff37777f3fff
001aa907843axxxxxxxxxxx9888e01bf001effff37777f9fffff5177ffff37777f9ffffff7fdffff37777f3fff
001aa907843axxxxxxxxxxx9888e01bf001effff37777f9fffff51b7ffff37777f9ffffff77dffff37777f3fff
2---
001aa907843axxxxxxxxxxx4888e01bf001effff37777f9fffff0bdbffff37777f9fffff7729ffff37777f3fff
001aa907843axxxxxxxxxxx4888e01bf001effff37777f9fffff0b5bffff37777f9fffff77c9ffff37777f3fff
001aa907843axxxxxxxxxxx4888e01bf001effff37777f9fffff0b9bffff37777f9fffff7749ffff37777f3fff
001aa907843axxxxxxxxxxx4888e01bf001effff37777f9fffff0b1bffff37777f9fffff7789ffff37777f3fff
3--
001aa907843axxxxxxxxxxxb888e01bf001effff37777f9fffff71faffff37777f9fffff77fbffff37777f3fff
001aa907843axxxxxxxxxxxb888e01bf001effff37777f9fffff717affff37777f9fffff777bffff37777f3fff
001aa907843axxxxxxxxxxxb888e01bf001effff37777f9fffff71baffff37777f9fffff77bbffff37777f3fff
001aa907843axxxxxxxxxxxb888e01bf001effff37777f9fffff713affff37777f9fffff773bffff37777f3fff
拆包
目标MAC 源MAC 协议版本 xxxxxx
拆包
目标MAC 源MAC 协议版本 xxx
而且心跳包 是有迹可循的
锐捷检验过 md5 数值后,就会返回一个成功的数据包了,这个成功的数据包里,包含又一个 随机数种子。 这个随机数种子还经过了一定的混淆算法。需要首先反向解密。 解密后,每次发送心跳包钱,都将这个数字+1. 并将加1 后的数字再次加密。 解密后,再附带锐捷那一套冗长的数据,合并后的数据即可发送了。 心跳包发送频率可以控制在每分钟一个即可
https://code.google.com/p/mentohust/wiki/Protocol
|