校园网信息收集

首次访问:

访问连接

http://1.1.1.1/a70.htm?wlanuserip=10.133.243.201&wlanacip=null&wlanacname=null&vlanid=0&ip=10.133.243.201&ssid=null&areaID=null&mac=00-00-00-00-00-00

仔细观察url

wlanuserip =10.133.243.201 (用户的ip，连接校园网后会通过DHCP分配一个ip地址)

登录之后

在我们登录之后的时候再次观察url

http://1.1.1.1/3.htm?wlanuserip=10.133.243.201&wlanacname=ZYGXY-ME60-X16&wlanacip=10.10.9.200&mac=00-00-00-00-00-00&session=

注:

返回2.htm是认证失败

返回3.htm是认证成功

wlanuserip=10.133.243.201

wlanacname =ZYGXY-ME60-X16 (ac的型号)

wlanacip=10.10.9.200 (ac的ip ac是ap的控制器)

ac和用户不在一个网段

扫描1.1.1.1

开放了很多的端口

其中801端口是portal认证服务器界面

22是ssh

23是telnet

爆破了一波，发现好像没有弱口令，可能是我没有爆出来

…

扫描网站目录

http://1.1.1.1:801/info.php phpinfo()

http://1.1.1.1:801/nginx_status 貌似是nginx服务器的状态信息

发现有两个网站目录

注销之后

观察此时的url

http://1.1.1.1/2.htm?wlanuserip=10.133.243.201&wlanacname=ZYGXY-ME60-X16&wlanacip=10.10.9.200&mac=701ce7ce9078&session=null&ACLogOut=1

mac这个参数原本是00-00-00-00-00-00 现在是701ce7ce9078我的mac地址，这说明我们的mac地址通过get方式传给portal服务器

我用tracert来进行一下路由追踪

发现这个1.1.1.1就在网关地址的后面，猜测这个ip地址就是网关的回环地址,就类似于我们电脑的127.0.0.1

校园网简易拓扑图

我的猜想，不一定对…