电信校园客户端逆向工程
逆向工程得出结果如下:
首先,电信校园客户端并不是直接修改CHAP RESPONSE生成函数,而是通过它自己修改的RP-PPPoE对数据包的截取和修改来完成的。
帐号的前缀不再是调用拨号的时候加上的,而是在拨号程序内部加上的,准确地说是拨号程序截取CHAP RESPONSE PACKET,然后对RESPONSE HASH进行修改,修改过后更改包中的NAME字段,在帐号前加前缀,并修改包中的LENGTH字段,使其正确反映包的长度,然后再将修改过的包发出。
拨号程序默认内置了一份前缀和密码表。默认前缀是^~3,密码表长度为0x11,即共17个字节。对RESPONSE的修改选择是基于前缀的第二位。如果第二位为#,那么就采用新的方式做RESPONSE HASH修改;否则采用原来的方式。
原来的方式很简单。首先对CHALLENGE(没错,是CHALLENGE,拨号程序也会过滤进入的CHAP PACKET,然后如果是CHAP 0x1,也就是CHALLENGE包,那么就会将CHALLENGE保存在内存的某一位置共后续使用)按字节进行替换。假设某字节为a,密码表为key[],密码表中元素个数为n,则其替换方式为a=a+key[a&n]。替换完后,使用原来的RESPONSE,新的CHALLENGE来完成一次MD5 HASH。用这个结果作为新的RESPONSE交给服务器。即完成CHAP。
新的方式有些复杂。因为它不只一种方式……准确地说,它是使用一种块加密算法的变体的加密和解密,以及另一种还算有名的并且有一些缺憾的流加密算法。前一种有4个不同的参数,分别为加、解密16轮和加、解密32轮。它将原来的RESPONSE作为值,然后用上述方式将RESPONSE的每一个字节都走一遍,然后再发出去。采用什么参数、什么算法由RESPONSE第一个字节%5来决定……
这次电信也确实学聪明了,如果你按过去的方法去查看前缀(通过netfilter.sys之类),那么你应该得到的前缀是^~3,但实际上5月更新已经把前缀更改为^#02了,其实这都在pdext的配置文件中。
如果你对源码有兴趣的话,可以在推上DM我,我应该可以把它发过去,不是我不想公开,如果公开那么我害怕电信会大幅修改,那样今后的两年就没法过了TAT
更新
去年11月末电信客户端进行了又一次升级,这次升级使用动态链接等手段……我已经弄不下去了……在此作为特典将过去的pppd修改部分补丁放出,目前还是可以使用的,不过不知道能用多久就是了……
Index: ppp-2.4.7/pppd/chap-md5.c
===================================================================
--- ppp-2.4.7.orig/pppd/chap-md5.c 2014-08-09 12:31:39.000000000 +0000
+++ ppp-2.4.7/pppd/chap-md5.c 2014-09-28 15:05:32.517737058 +0000
@@ -1,6 +1,12 @@
/*
* chap-md5.c - New CHAP/MD5 implementation.
*
+ * Modified for Damning China Telecom Campus Broadband Access.
+ *
+ * Version 20140921
+ *
+ * Copyright (c) 2014 Lingmo Zhu. All rights reserved.
+ *
* Copyright (c) 2003 Paul Mackerras. All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
@@ -53,6 +59,120 @@
random_bytes(cp, clen);
}
+static unsigned long xteakey[4] = {
+ 0xf96d9f94, 0x787199a7, 0x9e15fe69, 0xe816331d
+};
+
+static unsigned char newtable[16] = {
+ 0x94, 0x9f, 0x6d, 0xf9, 0xa7, 0x99, 0x71, 0x78,
+ 0x69, 0xfe, 0x15, 0x9e, 0x1d, 0x33, 0x16, 0xe8
+};
+
+static unsigned char encrypt_table[17] = {
+ 0x38, 0xf2, 0xf8, 0xf8, 0x88, 0xe3, 0xe8, 0x99,
+ 0x76, 0x12, 0xd4, 0x22, 0xa7, 0x87, 0x65, 0x23,
+ 0x12
+};
+
+static void
+chap_esurfing_encrypt(unsigned char *dest, unsigned char *src, int src_len) {
+ if (src_len>0) {
+ int i;
+ for (i=0; i!=src_len; i++)
+ dest[i]=src[i]+encrypt_table[i%17];
+ }
+}
+
+static void
+chap_esurfing_xtea(int round, unsigned char *v, unsigned long *key) {
+ unsigned long v0, v1, tv[8], sum, delta=0x9e3779b9;
+ int i;
+ tv[0]=v[0];tv[1]=v[1];tv[2]=v[2];tv[3]=v[3];
+ tv[4]=v[4];tv[5]=v[5];tv[6]=v[6];tv[7]=v[7];
+ v0=(tv[3]<<24)+(tv[2]<<16)+(tv[1]<<8)+tv[0];
+ v1=(tv[7]<<24)+(tv[6]<<16)+(tv[5]<<8)+tv[4];
+ if (round<=0) {
+ if ((sum=(-round)*delta)!=0) {
+ notice("xtea decrypt");
+ for (i=0; i>round; i--) {
+ v1-=((v0<<4)^(v0>>5))+(v0^sum)+key[(sum>>11)&3];
+ sum-=delta;
+ v0-=((v1<<4)^(v1>>5))+(v1^sum)+key[sum&3];
+ }
+ }
+ } else if ((round*delta)!=0) {
+ notice("xtea encrypt");
+ for (i=0; i<round; i++) {
+ v0+=((v1<<4)^(v1>>5))+(v1^sum)+key[sum&3];
+ sum+=delta;
+ v1+=((v0<<4)^(v0>>5))+(v0^sum)+key[(sum>>11)&3];
+ }
+ }
+ tv[0]=v0; tv[1]=v0>>8; tv[2]=v0>>16; tv[3]=v0>>24;
+ tv[4]=v1; tv[5]=v1>>8; tv[6]=v1>>16; tv[7]=v1>>24;
+ for (i=0; i<8; i++)
+ v[i]=tv[i]&0xff;
+}
+
+static inline void
+encrypt0(unsigned long *key, unsigned char *v) {
+ chap_esurfing_xtea(16, v, key);
+ chap_esurfing_xtea(16, v+8, key);
+}
+
+static inline void
+encrypt1(unsigned long *key, unsigned char *v) {
+ chap_esurfing_xtea(-16, v, key);
+ chap_esurfing_xtea(-16, v+8, key);
+}
+
+static inline void
+encrypt2(unsigned long *key, unsigned char *v) {
+ chap_esurfing_xtea(32, v, key);
+ chap_esurfing_xtea(32, v+8, key);
+}
+
+static inline void
+encrypt3(unsigned long *key, unsigned char *v) {
+ chap_esurfing_xtea(-32, v, key);
+ chap_esurfing_xtea(-32, v+8, key);
+}
+
+static inline void
+ksa(unsigned char state[], unsigned char key[], int len) {
+ int i,j=0,t;
+ for (i=0; i < 256; ++i)
+ state[i] = i;
+ for (i=0; i < 256; ++i) {
+ j = (j + state[i] + key[i % len]) % 256;
+ t = state[i];
+ state[i] = state[j];
+ state[j] = t;
+ }
+}
+
+static inline void
+prga(unsigned char state[], unsigned char out[], int len) {
+ int i=0,j=0,x,t;
+ unsigned char key;
+
+ for (x=0; x < len; ++x) {
+ i = (i + 1) % 256;
+ j = (j + state[i]) % 256;
+ t = state[i];
+ state[i] = state[j];
+ state[j] = t;
+ out[x] ^= state[(state[i] + state[j]) % 256];
+ }
+}
+
+static void
+encrypt4(unsigned char *key, unsigned char *v) {
+ unsigned char state[256];
+ ksa(state, key, 16);
+ prga(state, v, 16);
+}
+
static int
chap_md5_verify_response(int id, char *name,
unsigned char *secret, int secret_len,
@@ -91,6 +211,7 @@
{
MD5_CTX ctx;
unsigned char idbyte = id;
+ unsigned char *chall = challenge + 1;
int challenge_len = *challenge++;
MD5_Init(&ctx);
@@ -99,6 +220,47 @@
MD5_Update(&ctx, challenge, challenge_len);
MD5_Final(&response[1], &ctx);
response[0] = MD5_HASH_SIZE;
+ if (our_name[1]=='~') {
+ /* Second MD5 for Damn ESurfing */
+ notice("Using Old ESurfing Encryption...");
+ unsigned char *t=malloc(challenge_len);
+ memcpy(t, chall, challenge_len);
+ chap_esurfing_encrypt(t, t, challenge_len);
+
+ MD5_Init(&ctx);
+ MD5_Update(&ctx, &response[1], response[0]);
+ MD5_Update(&ctx, t, challenge_len);
+ MD5_Final(&response[1], &ctx);
+ response[0] = MD5_HASH_SIZE;
+ free(t);
+ } else if (our_name[1]=='#') {
+ notice("Using New ESurfing Encryption %d with secret %s", response[1]%5, secret);
+ switch (response[1]%5) {
+ case 0:
+ encrypt0(xteakey, &response[1]);
+ break;
+
+ case 1:
+ encrypt1(xteakey, &response[1]);
+ break;
+
+ case 2:
+ encrypt2(xteakey, &response[1]);
+ break;
+
+ case 3:
+ encrypt3(xteakey, &response[1]);
+ break;
+
+ case 4:
+ encrypt4(newtable, &response[1]);
+ break;
+
+ default:
+ break;
+ }
+ } else
+ notice("Ordinary CHAP, HOORAY!");
}
static struct chap_digest_type md5_digest = {
使用这个做拨号时不要忘了在号码前加^#03。