这是一个创建于 485 天前的主题,其中的信息可能已经有所发展或是发生改变。
仓库地址: https://github.com/wireless-sec/cmcc-bypass-poc
在此处备份一下大学的时候发现过的一个 CMCC 的漏洞,已经是一个过时的漏洞,谨以此纪念。
原理就是 CMCC 刚连接上去的时候会有一瞬间不需要认证就能上网(大概十年前,2013 年左右的时候),所以就用脚本来一直不断的模拟连接、断开,试图去嫖那刚连接上一瞬间的流量积少成多,打开网页,看看视频啥的问题不大,我们几个丝靠这个洞渡过不少交不起网费的日子,哈哈哈。
备份自: https://www.cnblogs.com/cc11001100/p/8100247.html
大学的时候无意间发现绕过 CMCC 验证的方法(贫穷使人进步...),写了段 POC 脚本,时过两年,漏洞应该已经失效了(我猜 --),刚刚发现有人私信问我要,都那么久了鬼还记得写的什么啊,但确实看到了又不能当做没看到,只好在以前电脑翻了一阵,想了一下,还是贴在这里备份一下,毕竟我也是发现过漏洞的男人....
作用为连接 CMCC 无需验证即上网,缺陷是这样得到的网络并不稳定,其实挺鸡肋的,语言为 Windows 下的脚本语言 bat:
@echo off title FREE LUNCH :loop cls REM 丧心病狂的转义符 ^e^c^h^o^. ^e^c^h^o^ ^ ^ ^ ^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^.^-^~^~^~^~^-^.^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^/^ ^_^_^ ^ ^ ^ ^ ^\^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^ ^/^ ^ ^\^ ^ ^/^ ^ ^`^~^~^~^~^~^-^.^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^|^ ^ ^ ^ ^|^ ^ ^0^ ^ ^ ^ ^ ^ ^ ^ ^ ^@^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^|^|^ ^ ^ ^ ^|^ ^ ^_^.^ ^ ^ ^ ^ ^ ^ ^ ^|^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^\^|^ ^ ^ ^ ^|^ ^ ^ ^\^ ^ ^ ^ ^ ^ ^ ^/^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^\^ ^ ^ ^ ^/^ ^ ^/^`^~^~^~^~^~^~^`^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^(^'^-^-^'^"^"^`^)^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^/^`^"^"^"^"^"^`^\^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^假^装^世^界^很^美^好^,^然^后^为^之^奋^斗^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^-^-^-^-^-^-^-^-^ ^b^y^ ^c^c^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^ ^o ^e^c^h^o^ ^ ^ ^ ^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o^-^o REM the core code ipconfig /release >> nul ipconfig /renew >> nul ping 127.0.0.1 -n 8 >> nul goto :loop REM hack by cc REM 2016-5-8 11:26:1 
效果演示视频地址: http://v.youku.com/v_show/id_XMTYwMTU2ODU0OA==.html
 | 1 kuanat 2024-06-17 22:29:22 +08:00 厉害啊哈哈 |
 | 2 CC11001100 OP @kuanat 哈哈哈谢谢老哥,不过我至今也没搞明白是啥原理,只是无意间发现这样可以。。。捂脸。。。 |
| 3 kuanat 2024-06-18 00:29:17 +08:00 @CC11001100 #2 盲猜一下,估计是那个认证服务器不在内网里,所以要给一段时间让你能够打开那个认证页面,2016 年那些系统还不成熟。 一般这种 captive portal 在出口处的防火墙默认阻止所有 ip 访问(非 mac ),通过认证的就让防火墙放行。然后一般为了减轻防火墙负担,已经建立的连接后续数据包就直接放行了。 反复 release/renew 让你的设备在系统看来是新设备加入,清空了之前防火墙记录,你的访问( dns 请求,发起连接)能在系统预设的时间里发起,流量就能通过。 现在的系统基本上都是绑定到 mac ,比如星巴克用的,你可以跨店免认证接入。再就是认证服务器处于内网,通过旁路连接到中央计费后台。这样就没办法流量偷跑了。 |
 | 4 x86 2024-06-18 00:36:54 +08:00 当年宿舍 晚上 11 点断网,硬是靠买 cmcc 账号熬过去了 |
 | 5 zhangyoucaiyo 2024-06-18 09:20:54 +08:00 想起来上大学的时候,校园网计费系统用的 DR 。每天晚上 11 点准时断网,会跳转到认证页面。学生账号晚上不允许登录认证,教师账号不影响。然后发现 53 端口是没有限制的。然后全宿舍合资买了当时网易的云服务器,ss 端口放在 53 ,愉快的度过了一个又一个晚上。 |
 | 6 qq135449773 2024-06-18 10:09:51 +08:00 好久没看到过 cmcc 的 wifi 了,移动这个业务是不是已经停掉了? |
 | 7 michael00500011 2024-06-18 11:21:48 +08:00 @qq135449773 CMCC wifi 业务当时是因为 3g tds 实在是烂的够瞧,上网困难,于是开 wifi 业务勉强维持高密度地区覆盖(机场火车站学校等),不然别的运营商都能上网移动只能 GPRS 卡死,所以 4g 牌照发放以后,这个业务就不再继续投入了 |
| 8 CC11001100 OP @zhangyoucaiyo 哈哈哈你们真机智,53 端口估计寻思着留着 DNS 解析呢结果被钻了空子啦 |
Select Language