访问连接
http://1.1.1.1/a70.htm?wlanuserip=10.133.243.201&wlanacip=null&wlanacname=null&vlanid=0&ip=10.133.243.201&ssid=null&areaID=null&mac=00-00-00-00-00-00仔细观察url
wlanuserip =10.133.243.201 (用户的ip,连接校园网后会通过DHCP分配一个ip地址)
在我们登录之后的时候再次观察url
http://1.1.1.1/3.htm?wlanuserip=10.133.243.201&wlanacname=ZYGXY-ME60-X16&wlanacip=10.10.9.200&mac=00-00-00-00-00-00&session=注:
返回2.htm是认证失败
返回3.htm是认证成功
wlanuserip=10.133.243.201
wlanacname =ZYGXY-ME60-X16 (ac的型号)
wlanacip=10.10.9.200 (ac的ip ac是ap的控制器)
ac和用户不在一个网段
扫描1.1.1.1
开放了很多的端口
其中801端口是portal认证服务器界面
22是ssh
23是telnet
爆破了一波,发现好像没有弱口令,可能是我没有爆出来
…
扫描网站目录
http://1.1.1.1:801/info.php phpinfo()
http://1.1.1.1:801/nginx_status 貌似是nginx服务器的状态信息
发现有两个网站目录
观察此时的url
http://1.1.1.1/2.htm?wlanuserip=10.133.243.201&wlanacname=ZYGXY-ME60-X16&wlanacip=10.10.9.200&mac=701ce7ce9078&session=null&ACLogOut=1mac这个参数原本是00-00-00-00-00-00 现在是701ce7ce9078我的mac地址,这说明我们的mac地址通过get方式传给portal服务器
我用tracert来进行一下路由追踪
发现这个1.1.1.1就在网关地址的后面,猜测这个ip地址就是网关的回环地址,就类似于我们电脑的127.0.0.1
我的猜想,不一定对…
