1. 前言

好久没写文章了,工作比较忙,不过我还是对技术比较热爱,即使它不能给我带来利益,保持初心。

工作期间遇到一个问题,连接vpn的软件是校验机器硬件码,不是公司电脑不让使用vpn软件,上下班已经让我搞得筋疲力尽了,我不想每天背个电脑回家,这还怎么让我在家愉快的加班?

2. 分析

首先,我能想到硬件码当然是mac地址,为了验证我自己的想法,我需要将mac地址设置成与公司电脑mac地址相同的地址。

这里windows 上有简单的修改mac地址的方法,通过修改注册表,简单来说就是给注册表增加选项,让网络地址可以配置。

正常无线网卡是没有 “网络地址” 这个配置项的,是通过注册表增加实现的这个配置项。

不过这里有限制,就是mac 地址的第二位必须为固定的一些值,这是受到系统的限制,看网上说xp系统是没有限制的,不过我不可能去换xp系统的。

无奈,我需要快速验证到底是不是根据mac地址生成的硬件码,因为如果不是 mac地址生成的硬件码,我后续的工作无法进行下去。

这里采用简单粗暴的方法,直接使用虚拟机

然后装上对应的vpn 软件,功夫不负有心人,果然是mac地址生成的硬件码。

3. 大胆猜测

知道了修改mac地址就可以实现伪装硬件码后,后面的思路就是如何 让软件读取到假的mac地址,我猜测 vpn 软件是通过windows 的api 来读取 mac 地址的,简单的百度一下发现 GetAdaptersInfo这个函数,其在 Iphlpapi.dll

简单用frida 验证一下 vpn 软件是否调度到了 GetAdaptersInfo 这个函数:

frida-trace -i "GetAdaptersInfo" "软件完整地址"

输出:

GetAdaptersInfo: Loaded handler at "C:\\Users\\pc\\Desktop\\__handlers__\\IPHLPAPI.DLL\\GetAdaptersInfo.js"

Started tracing 1 function. Press Ctrl+C to stop.

           /* TID 0x3cf8 */

  2948 ms             0  1  2  3  4  5  6  7  8  9  A  B  C  D  E  F  0123456789ABCDEF

0f4ee254  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee264  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee274  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee284  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee294  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee2a4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee2b4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee2c4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee2d4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee2e4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee2f4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee304  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee314  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee324  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee334  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

0f4ee344  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

  2948 ms  GetAdaptersInfo()

可以看到软件确实调用到了 GetAdaptersInfo 这个函数。

这里要注意一个问题,启动cmd时要用 管理员权限 启动,否者hook不到。

4. 分析GetAdaptersInfo函数

DWOED GetAdaptersInfo(

PIP_ADAPTER_INFO pAdapterInfo;

PULONG pOutBufLen;

);

函数有俩个参数,第一个参数是 PIP_ADAPTER_INFO 类型的指针,最终结果也存储在 第一个参数里面。

第二个参数是一个长度,是一个整数型指针。

返回值也是一个整数表示是否获取成功。

简单一个程序,获取mac及网络地址的代码:

#include <winsock2.h>

#include <iphlpapi.h>

#include <stdio.h>

#pragma comment(lib,"Iphlpapi.lib")

int main()

{

	// 初始化winsock

	PIP_ADAPTER_INFO pAdapterInfo;

	PIP_ADAPTER_INFO pAdapter = NULL;

	ULONG ulOutBufLen = sizeof(IP_ADAPTER_INFO);

	pAdapterInfo = (PIP_ADAPTER_INFO)malloc(ulOutBufLen);

	DWORD dwRetVal = GetAdaptersInfo(pAdapterInfo, &ulOutBufLen);

	// 第一次调用GetAdapterInfo获取ulOutBufLen大小

	if (dwRetVal == ERROR_BUFFER_OVERFLOW)

	{

		free(pAdapterInfo);

		pAdapterInfo = (IP_ADAPTER_INFO*)malloc(ulOutBufLen);

		dwRetVal = GetAdaptersInfo(pAdapterInfo, &ulOutBufLen);

	}

	if (dwRetVal == NO_ERROR)

	{

		pAdapter = pAdapterInfo;

		while (pAdapter)

		{

			printf("Adapter Name: \t%s\n", pAdapter->AdapterName);

			printf("Adapter Desc: \t%s\n", pAdapter->Description);

			printf("MAC Addr: \t%02x-%02x-%02x-%02x-%02x-%02x\n",

				pAdapter->Address[0],

				pAdapter->Address[1],

				pAdapter->Address[2],

				pAdapter->Address[3],

				pAdapter->Address[4],

				pAdapter->Address[5]);

			printf("IP Address: \t%s\n", pAdapter->IpAddressList.IpAddress.String);

			printf("IP Mask: \t%s\n", pAdapter->IpAddressList.IpMask.String);

			printf("Gateway: \t%s\n", pAdapter->GatewayList.IpAddress.String);

			pAdapter = pAdapter->Next;

		}// end while

	}

	else

	{

		printf("Call to GetAdaptersInfo failed.\n");

	}

	if (pAdapterInfo != NULL)

	{

		free(pAdapterInfo); //释放资源

	}

	return 0;

} //end main

简单调试一下这个程序:

可以看到 第一个参数 是一个结构体,有点像 链表的数据结构,每次使用 Next 来调度到下一块内存,存储的也是下一块网卡信息(包括虚拟网卡)。而我们需要的Mac 地址就存放在 Address 这个字段中。

因为 frida 脚本我还不知道如果调度结构体,所以这里通过偏移值来修改的(如果有方法,还请评论区大佬教我)。

这里需要注意调试时是x86来调试,因为vpn软件是32位的。

算一下mac(Address) 地址针对 pAdapterInfo 偏移值:

>>> 0x0087f19c-0x0087f008

404

>>>

next 针对 pAdapterInfo 偏移值:

>>> 0x0087f288-0x0087f008

640

>>>

5. 编写 frida 脚本

这里有一个难点,如何在函数结束的时候 改变其内存值,hook脚本 onLeave中的参数是返回值,而不是函数的参数,这里可以在 onEnter 对第一个参数this绑定,这样 onLeave 时就可以调到这个指针了

var writeFile = Module.getExportByName(null, "GetAdaptersInfo");

Interceptor.attach(writeFile, {

    onEnter: function(args)

    {

        this.data = args[0] //动态绑定第一个参数到 this,为了在函数返回是修改

    },

    onLeave:function(ret){

        // 1280

        // 640

        console.log(Memory.readByteArray(ptr(this.data.add(404)), 6)) //输出第一块网卡mac地址

        console.log(Memory.readByteArray(ptr(this.data.add(1044)), 6)) // +640结构体偏移,获得下一块网卡mac地址

        Memory.writeByteArray(ptr(this.data.add(1684)),[0x01,0x02,0x03,0x04,0x05,0x06]) // 写入第三块网卡mac地址

    }

});

启动命令(cmd管理员权限):

frida "软件路径" -l C:\Users\pc\Desktop\hooking.js --no-pause

6. 后记

通过这个案例解决了我实际的问题,这个东西前前后后弄了一周 (工作时间除外),从刚开始有这个想法,到一步一步分析验证。东西做出来后也有很大的成就感。针对逆向这方面我是个小白,很多东西都是现查的。

有一些感想:保持清晰思路,大胆猜想,小心验证,保证你逻辑每一步都正确,最后的结果肯定是符合预期的,这就叫合理吧。

记一次hook mac地址实现伪装硬件码的更多相关文章

  1. 网络基本概念备忘:MAC地址,端口,HTTP状态码

    MAC地址 英文MAC Address 英文全称: Media Access Control Address 别称:硬件位址 用途:定义网络设备位置 表示:十六进制数,6 Byte 特点:产品出产后M ...

  2. 突破路由mac地址过滤思路

    一.获取合法的mac地址 在拿到无线网络的密码时,主要思路就是,用类似airodump-ng这类监听软件(WildPackets OmniPeek,Kismet),获得合法客户端的mac地址,然后再更 ...

  3. MAC 地址为什么不需要全球唯一

    MAC 地址(Media access control address)是分配给网络接口控制器(Network interface controller, NIC)的唯一标识符,它会在网络段中充当网络 ...

  4. 伪装MAC地址

    一.界面操作法 打开"网上邻居",右键属性"本地连接",点击配置 选择"高级",再选"网路卡位址"(不同系统名字略不同) ...

  5. 利用tcp三次握手,使用awl伪装MAC地址进行多线程SYN洪水攻击

    SYN洪水攻击概述:SYN洪水攻击主要源于: tcp协议的三次握手机制tcp协议面向链接的协议SYN洪水攻击的过程:在服务端返回一个确认的SYN-ACK包的时候有个潜在的弊端,如果发起的客户是一个不存 ...

  6. [记]WIndow/Linux 获取本机(全部)IPv4、IPv6、MAC地址方法 (C/C++)

    Linux 获取本机IP.MAC地址用法大全 //#include <sys/types.h> #include <ifaddrs.h> #include <sys/io ...

  7. Windows Mac地址伪装步骤

    本文介绍Windows上Mac地址修改方法,适用于网络环境绑定了Mac地址需要修改上网的情况. 工具/原料 PC电脑一台 Windows系统 方法/步骤 点击右下角图标. 点击打开网络和共享中心. 点 ...

  8. 记一次排查局网内的ARP包 “不存在的” MAC 地址及 “不存在的”IP 所发的ARP包

    xu言: 最近生了一场病,虽然不是给自己找理由不写.不过果不其然还是没有坚持每天发一篇啊.不过,有时间我还是会把一些有意思的事情记录下来.以作备忘吧.这人老了记性就不好了.哈哈哈,当然,也侧面说明了. ...

  9. 记MAC地址、磁盘序列号的获取

    import java.io.*; import java.net.Inet4Address; import java.net.InetAddress; import java.net.Network ...

  10. 手机电脑Mac地址修改方法

    1.什么是Mac地址? MAC(Media Access Control或者Medium Access Control)地址,意译为媒体访问控制,或称为物理地址.硬件地址,用来定义网络设备的位置.在O ...

随机推荐

  1. docker学习笔记-容器相关命令

    新建并启动容器 docker pull centos (先下载镜像,如果没有直接使用docker run 命令会根据本地情况进行下载) # docker run [可选参数] image # 参数说明 ...

  2. 利用高级组策略管理AGPM复制组策略GPO

    有时候管理多个林,在一个林中配置了GPO之后,想复制出来用到其它林里.默认系统的组策略管理里没有这个功能.但是微软在微软企业桌面优化套件Microsoft Desktop Optimization P ...

  3. Scrum五大会议要怎么开?

    在Scrum框架中,我们对Scrum的五个会议一定都不陌生,但如何组织这五个会议,才能让Scrum团队真正积极.主动地参与进项目管理中呢?接下来我们会以一个Sprint为周期,详细介绍一下Sprint ...

  4. kali安装vscode(deb包)

    如果在虚拟机下安装,则你可以在主机下载,然后复制到具有可读可写的文件夹,比如root用户的话就在/root下面 打开终端,切换到软件终端,输入安装命令dpkg -i code...按table键自动补 ...

  5. Kubernetes ConfigMap热更新

    ConfigMap是用来存储配置文件的kubernetes资源对象,所有的配置内容都存储在etcd中. 总结 更新 ConfigMap 后: 使用该 ConfigMap 挂载的 Env 不会同步更新 ...

  6. Elasticsearch:如何实现对 emoji 表情符号进行搜索

    转摘自:https://elasticstack.blog.csdn.net/article/details/114261636 Elasticsearch 是一个应用非常广泛的搜索引擎.它可以对文字 ...

  7. 我的Vue之旅、05 导航栏、登录、注册 (Mobile)

    第一期 · 使用 Vue 3.1 + TypeScript + Router + Tailwind.css 构建手机底部导航栏.仿B站的登录.注册页面. 代码仓库 alicepolice/Vue-05 ...

  8. 2022.9.30 Java第四次课后总结

    1.public class BoxAndUnbox { /** * @param args */ public static void main(String[] args) { int value ...

  9. PHP全栈开发(九):javascript 基础

    js不允许读取电脑上的文件: js不允许修改服务器上的文件,修改服务器上的文件是php来做的事情. 因此js是一个前端脚本. 前端的三个语言是HTML/CSS/JavaScript 这三个东东Java ...

  10. POJ1094 Sorting It All Out (floyd传递闭包)

    关系具有传递性,可以用floyd解决. 将关系都看做i<j的形式,令d[i][j]=1,如果d[i][j]=d[j][i]=1,说明矛盾:d[i][j]=d[j][i]=0,说明i与j的关系无法 ...