邪恶八进制信息安全团队技术讨论组's Archiver

冰封メ心弦 2008-3-28 10:23

[讨论]局域网IP争夺战

议题作者:冰封メ心弦
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com]www.eviloctal.com[/url])

情况:
    学校由于木马、病毒到处传播问题,所以把我们班级的网给停了(局域网还能用),但不知道什么原因192.168.1.45这个IP竟然可以上网,所以6班和13班都在抢这个IP- -!他们用了[color=red]瑞星杀毒软件、瑞星防火墙、360安全卫士、360ARP防火墙、还有一个防IP冲突的软件[/color]。谁只要先启动电脑,这个IP就归谁了。他们现在还开了网络执法官来攻击对方,战斗很激烈啊^_^
    现在我们班也想介入,不知道有什么可行的方法不?本人想到的思路有两种。一、和他们抢192.168.1.45这个IP,利用某个抢IP工具(大家有了话可以推荐下哈)或利用入侵的办法,在利用命令改IP,在把网上邻居隐藏起来(最好是BAIDU上搜不到的方法,那些家伙懂得利用BAIDU了)。二、找出192.168.1.45可以上网的原因,想个办法把其他的IP也开起来实现上网功能。
现状:
    我朋友已经在6班开了代理,如果6班抢IP成功了话还能用代理勉强上(速度实在慢啊- -!)如果被13班抢了就OVER了。大家有什么办法一起想想啊^_^

对了在加一条,我们学校的网站服务器可以入侵,我已经拿到学校网站后台权限,但始终传不了ASP马。有什么关于学校网站提权的办法到[url=https://forum.eviloctal.com/viewthread.php?tid=31854]https://forum.eviloctal.com/viewthread.php?tid=31854[/url],谢谢了:victory:

magicdigua 2008-3-28 12:43

找一个晚上,直接把对方的网线剪断了就OK

以下在2008.3.28 13:07加入:

    郁闷,被扣分了,最简单的方法就是直接在链路上断开,客户机安装了防IP冲突、反ARP,那我们就利用ARP欺骗网关,写一个程序,不断发送arp包到网关,把45这个ip邦定到你的mac地址上面。

[[i] 本帖最后由 magicdigua 于 2008-3-28 13:12 编辑 [/i]]

raoer 2008-3-28 13:55

根据你的描述
猜测你们学校的网络结构
教育网光纤-防火墙(路由器)-核心交换机-接入层交换机-pc

不能上外网但局域网能互通,可能是在核心交换机上写了acl,45被漏写了????
你们是DHCP获得的地址,若能拿到核心交换机的密码,一切都好办了。。
若不能,猜测dhcp server是在核心交换机上做的,你们的网关是核心交换机的某个vlan
通常情况下交换机是开了snmp的,读写共同体为public,你可以用solarwinds扫扫看
这样就能查看到交换机的arp表,能获得45对应的mac地址,然后后sinifer或者etherpeek伪造arp报文对交换机进行欺骗,从而达到上网的目的

remax 2008-3-29 01:23

漏写的可能性不大吧
开dhcp 的情况下搞限制上网,不可能出这种错误。
完全可以给教室的机器分配1段禁止上网的ip出来。
我建议还是日1台内网的可上外网的机器做一个vpn吧。

冰封メ心弦 2008-3-29 10:39

我也觉的漏写不可能,管理不可能从192.168.1.2一直写到192.168.1.255的,肯定是禁一个段的。但用VNP我在贴子已经说了,开过了,只是速度不理想啊:mad:

raoer 2008-3-29 10:51

因为不知道你们学校的具体网络环境,我也只是猜测的哈。。
漏写的可能还是存在的,只是几率不那么大,如果他int f0/0(出口)上写的acl涉及到了变长子网掩码喃?
或者本身45这个ip就是代理某ip上的网(交换机上写的策略),这也仅仅是从现象猜测的一种可能哈

把你所知道的网络拓扑描述出来,对这个问题比较感兴趣,大家来研究研究
最好留个联系方式哈

remax 2008-3-30 00:46

首先确定的1点是网络中存在dhcp
任意1个客户都可以申请到这个地址证明这个地址没有被保留,所以鉴定为非特殊服务器
鉴于只是个学校的网络,拓扑基本确定为路由+交换机的星型网络
由于现在的学校都比较大,可能是每层有1台交换机,或者把学生和教室机的网线做在不同的交换机上
那么问题好解决了
如果是前一种可能
做acl的时候就比较麻烦,因为没有dhcp指派ip,所以按ip封杀的可能性比较小,按出口封杀的可能性为0
如果是后一种可能
直接在核心交换上的网口上做acl,直接就deny any了
实在想不出为什么有1个ip可以上网,难道.45是测试网络用的ip?

冰封メ心弦 2008-3-30 09:11

我们学校很小的,所以每层有1台交换机不现实的。学校由于受外界入侵,连老师的电脑都停网了,意思就是全校只有192.168.1.45可以上网:mad:
       加个条件:经过老师那么一弄,网关如果是192.168.3.1可以用网上邻居个别用户,192.168.1.1也能个别用户,但只有192.168.1.1作网关,192.168.1.45作IP地址才能上网。

cchhd 2008-3-30 13:43

好复杂哦
能进入交换机的登录界面吗?
用webcrack破解交换机密码试试.........good luck

无咎学生 2008-4-3 16:30

现在解决了吗?

!~看的头好晕哦:sweat:

难道145单线!~        应该不是交换机集体模块损坏吧,只有145的口可以用吧

wukaikey 2008-4-3 20:33

开DHCP服务器,把另一个地址和他们的MAC地址绑定,或者强行破解网络设备的口令
走策略

wenhe196210 2008-4-4 11:07

要不 把这个 ip 跟你的 mac  地址给 绑在一起 看看可不可以 哦

冰封メ心弦 2008-4-4 12:35

交换机,什么的都进不去,连学校网站都把我们内网的给屏蔽了。我现在的办法就是在6班开了一个8080代理,勉强能用,但他们班如果没开机我们班就上不了了,郁闷。。。。。我现在的思路就是从学校网站入手,提权,开代理。有什么好办法到[url]https://forum.eviloctal.com/viewthread.php?tid=31854[/url]一起讨论:lol:

赵子岩 2008-4-4 16:51

*** 作者被禁止或删除 内容自动屏蔽 ***

冰封メ心弦 2008-4-4 21:39

绑了没用,照样被整下来,现在ARP工具成熟了。

至于:
开DHCP服务器,把另一个地址和他们的MAC地址绑定。
这个好象自动分配IP才有用到,我们学校内网每个班IP都固定的,除非被人恶意抢占。

赵子岩 2008-4-4 23:10

*** 作者被禁止或删除 内容自动屏蔽 ***

赵子岩 2008-4-5 12:27

*** 作者被禁止或删除 内容自动屏蔽 ***

冰封メ心弦 2008-4-5 13:52

回楼上的,一个网站的后台能做什么?修改帖子还是发垃圾文章,都不是吧,既然拿到了后台权限就要想办法拿WEBSHELL,这个应该也是讨论的范畴吧?
我记得我已经说过了,网络执法官大家都在用,在我们学校网内这个办法根本行不通。至于你17楼的回话我没任何意见:victory: 但请看清讨论主题后在发表正常评论,你的回复内容貌似和论坛的政治方面的规定打擦边球了:lol:

赵子岩 2008-4-5 21:21

*** 作者被禁止或删除 内容自动屏蔽 ***

冰封メ心弦 2008-4-5 21:30

上面那个BAT是MAC绑IP的吧?他们用ANTIARP了话就不行了,我和我同学已经试绑过了,没用饿,现在唯一想到的办法就是6班比他们早开机然后运行ANTIARP了:sweat: 还有感谢你给了那么多建议:lol: 学到了不少,嘿嘿。

赵子岩 2008-4-7 10:37

*** 作者被禁止或删除 内容自动屏蔽 ***

iconsole 2008-4-11 16:55

一个假设:
可以上网的那台IP: 45 , 你的:100 , 网关 1;

你不停的发ARP包给45 , 欺骗它说你是网关1,
ARP现在应该还没有最根本的解决办法,一些ARP防火墙什么的,都是比发包的速度,

好像IPTABLES 可以搞

龙轻风 2008-4-12 20:47

碰到这方面的问题,我不清楚怎样解决,不过,经常是找出ping的那个人,然后再去ping他了.

8013 2008-4-18 13:56

先查下现在上网的网卡MAC地址,
然后更改自己的MAC
最后把IP改成192.168.1.45
记得先改MAC后改IP否则报IP冲突:lol:

梦中忆梦 2008-4-18 18:21

回复 12楼 wenhe196210 的帖子

不是双绑的话没什么效果吧,他们很容易该回去

梦中忆梦 2008-4-18 18:23

回复 16楼 赵子岩 的帖子

好像是没有拿到SHELL ,拿到后台没用啊,不如LZ把你的后台说出来,我对提权感兴趣,后台来个截图

hum2049 2008-4-19 12:52

估计只有两种思路:
1:把交换机入侵了,静态绑定你的 ip mac
2: 还有就是找个arp欺骗的工具,一直给交换机发arp,让swich以为你就是45那台机子,(顺便问下,用什么工具?)

321victor 2008-4-20 10:57

都已经知道45可用了,肯定都是手工配IP地址了,不会再用什么DHCP自动获取了。想看对45是在哪个程度放开的,就用PING和traceroute测试了,分段看,确定是在哪个位置阻挡掉的。
        我觉得能够进行网络设备上进行修改才是一个好的办法,但怎么办,就如raoer朋友所说的那样。

byyong 2008-4-21 02:32

关于是不是DHCP自动获取,同意楼上的说法!
个人感觉ARP欺骗应该还是有用吧!现在的ARP防火墙比的基本就是发包速度!如果你确定你速度比防火墙块,应该可以吧!至于ARP论坛上也有几个大牛的文章,这里小菜就不提了!
如果不行,我有个大胆的猜想,欺骗网关我感觉还不如去欺骗你对手,什么手段你这个就得楼主自己去设想了,入侵你们学校的网站服务器我感觉不如果靠社工去欺骗你对手,别忘了社工也是一门艺术噢~

ws 2008-4-23 11:16

[quote]原帖由 [i]8013[/i] 于 2008-4-18 13:56 发表 [url=http://forum.eviloctal.com/redirect.php?goto=findpost&pid=141494&ptid=32680][img]images/common/back.gif[/img][/url]
先查下现在上网的网卡MAC地址,
然后更改自己的MAC
最后把IP改成192.168.1.45
记得先改MAC后改IP否则报IP冲突:lol: [/quote]

根据个人经验 抢ip的话 还是这个最有效

[[i] 本帖最后由 ws 于 2008-4-23 11:18 编辑 [/i]]

zjx1177 2008-4-25 12:41

回复 椅子 raoer 的帖子

对网络工程很了解 佩服!

263530304 2008-4-25 20:02

.....

求一大虾做我师傅。。。愿意的加我的QQ:263530304

wuly 2008-5-3 14:08

跑路由密码。。双梆。。。

旭日东升 2008-6-20 18:30

好羡慕你们的技术呀!  

各位对网络看来非常的了解

我一定要好好学学!

j10y 2008-6-27 17:16

:sweat: :sweat: :sweat: 继续ing.....

zczpc2000 2008-6-28 12:28

地方大学的生活真精彩..
真后悔上了军校.~呵呵.

icc 2008-7-16 13:46

1,mac双绑,
2,和平的解决办法,买个有nat功能的设备,做nat,大家都能上网(也有软件nat)
3,曾经听说linux在争夺ip比较有优势
4,建议还是考虑考虑弄到管理设备的密码

[[i] 本帖最后由 icc 于 2008-7-16 14:38 编辑 [/i]]

rmjycbs 2008-7-20 13:25

45只有在网关为1.1的情况下能用,会不会在该网关上做了MAC地址绑定,MAC地址跟你们学校的能上网的设备MAC地址一样????  意思就是给45分配一个固定的MAC地址,每次45连接网络都会使用同一个MAC地址通信,前提是这个MAC地址能够访问外网~!

[[i] 本帖最后由 rmjycbs 于 2008-7-20 13:34 编辑 [/i]]

页: [1]
© 1999-2008 EvilOctal Security Team