天翼校园客户端逆向工程

本文转载自好友ZLM大神的博客 。反正几个月前离开学校的时候还能用。备个份,也许能造福后人。 如果感到正文不明觉厉请直接跳到最后的patch

原理

逆向工程得出结果如下:

首先,电信校园客户端并不是直接修改CHAP RESPONSE生成函数,而是通过它自己修改的RP-PPPoE对数据包的截取和修改来完成的。

帐号的前缀不再是调用拨号的时候加上的,而是在拨号程序内部加上的,准确地说是拨号程序截取CHAP RESPONSE PACKET,然后对RESPONSE HASH进行修改,修改过后更改包中的NAME字段,在帐号前加前缀,并修改包中的LENGTH字段,使其正确反映包的长度,然后再将修改过的包发出。

拨号程序默认内置了一份前缀和密码表。默认前缀是^~3,密码表长度为0x11,即共17个字节。对RESPONSE的修改选择是基于前缀的第二位。如果第二位为#,那么就采用新的方式做RESPONSE HASH修改;否则采用原来的方式。

原来的方式很简单。首先对CHALLENGE(没错,是CHALLENGE,拨号程序也会过滤进入的CHAP PACKET,然后如果是CHAP 0x1,也就是CHALLENGE包,那么就会将CHALLENGE保存在内存的某一位置共后续使用)按字节进行替换。假设某字节为a,密码表为key[],密码表中元素个数为n,则其替换方式为a=a+key[a&n]。替换完后,使用原来的RESPONSE,新的CHALLENGE来完成一次MD5 HASH。用这个结果作为新的RESPONSE交给服务器。即完成CHAP。

新的方式有些复杂。因为它不只一种方式……准确地说,它是使用一种块加密算法的变体的加密和解密,以及另一种还算有名的并且有一些缺憾的流加密算法。前一种有4个不同的参数,分别为加、解密16轮和加、解密32轮。它将原来的RESPONSE作为值,然后用上述方式将RESPONSE的每一个字节都走一遍,然后再发出去。采用什么参数、什么算法由RESPONSE第一个字节%5来决定……

这次电信也确实学聪明了,如果你按过去的方法去查看前缀(通过netfilter.sys之类),那么你应该得到的前缀是^~3,但实际上5月更新已经把前缀更改为^#02了,其实这都在pdext的配置文件中。

Patch File

https://gist.github.com/fuyufjh/242a0ff959809e43f0c5a5f29be6cdfd

使用这个做拨号时不要忘了在号码前加^#03