你不一定要点蓝字关注我的
想知道怎么在美国各个航班上免费上网?小伙伴们看过来~
本文仅适用于gogoinflight提供的wifi。
连上gogoinflight wifi. 尝试打开https://www.google.com, 如果不能正常打开,断开重连直到可以正常打开。
打开terminal: 在右上角搜索栏输入terminal,单击第一个打开terminal。
3. 这时应该看到如下界面。输入: sudo -i, 回车。输入电脑账户密码(必须以管理员账户登录)
4. 输入ping www.google.com,回车。
5. 记下ip地址。按ctrl+c结束ping指令。
6. 输入下面指令(把74.125.225.148改成上面的ip)
echo "74.125.225.148 http://jttm-server-prox.appspot.com" > temp_gogo
cat temp_gogo >> /etc/hosts
rm temp_gogo
7. 打开浏览器输入 ,打开。注意:一定要用https打开。
8. 这时会到一个网页代理,直接输入要访问的网址就可以了。
9. 要访问http://google.com域名下的服务,比如http://mail.google.com。只要重复1-6步,把http://jttm-server-prox.appspot.com改成想上的地址,比如http://mail.google.com就可以了。http://Google.com域名下的网站用这个方法比较好。
Tips:
需要登录的网站访问有问题,这个网页代理写得比较简陋。
不要输入任何用户名密码,否则风险自己承担。
需要从原网站载入的内容可能显示不了,需要跳转的网站也可能显示不了。可以用百度快照访问大部分需要的网站。
小说之类的,去百度贴吧找还不错。
https的网站载入可能有问题。
OK,现在已经可以访问大部分网站了。
下面稍微讲下这个漏洞的原理。
这个漏洞暴漏出来是因为我的主页是www.google.com。然后我脸上gogoinflight的时候自动就载入了,没有要求我买wifi,而且所有的搜索功能都可用。我以为是所有google域名都可以免费上,后来发现只有www.google.com。
后来ping了一下www.google.com, 发现可以解析域名,说明gogo不是用域名屏蔽,是用ip屏蔽的,那么只要访问的ip跟www.google.com一样,就不会被重定向。所以只要改一下iptables之类本地解析ip的文件就可以了,所以在mac和linux下只要修改/etc/hosts就可以上网了。
但是这个方法只能上google的网站,因为所有的访问请求还是发给google的服务器,所以只有http://google.com相关的网站才能上。但是google提供app engine服务,用的是跟http://google.com一样的服务器,所以只要用网页代理是基于app engine的就可以用来访问其他非http://google.com的网站了。稍微搜一下就发现这个jttm-server-prox.appspot.com. 不过gogo好像也用了端口屏蔽,所有80端口的请求都不能通过,所以只能用https访问那个代理,443端口是没有屏蔽的。原因应该是gogo用了类似man-in-the-middle的方法重定向,如果把443也重定向的话,证书认证就没办法通过。(此处请大牛指正)
关于mitm攻击的一点改进想法:
mitm攻击可以把用户重定向到钓鱼网站吗?比如收到http://google.com的hanshake请求的时候回复一个重定向的response。
如果可以的话,完全可以做一个带script inject的代理服务器,然后把所有用户重定向到那个代理服务器,服务器代理访问的时候插入修改地址栏的script,这样用户完全看出来有什么异样,因为连 https访问的证书警告也不会出现。
关键应该是能不能在做mitm攻击的时候直接回复用户一个重定向的response。(求大牛指点)
写这篇日志之前已经跟computer securit的professor咨询过相关网络安全的法律规定,而且也给gogoinflight发了邮件说明这个漏洞。
作者陈迪, Software Engineer @ Bloomberg
物理竞赛本科保送上海交通大学,并获得密西根大学安娜堡分校的 Computer Science 双学位。大学期间曾在 Blackrock 基础架构组实习,毕业之后加入 Bloomberg Trading System 基础架构组。 大学期间曾参与自然语言处理研究,主要专注于多语言文字预习相似度比较。工作后主要专注在数据采集,机器学习,分布式系统的 Project 上。曾经采集全网中文新闻,全网中文小说等语料信息,并且实现了基于深度学习的中文字词向量自动生成。 喜欢尝试新技术,做一些有趣的 Project。
陈迪主讲热门课程:
如何设计实现一个实时PokemonGo小精灵地图?
太阁实验室有趣,有用,有效;刷项目,做实战,捅破技术那层纸论码农的自我修养WeChat ID: bit_tiger长按二维码,关注我哟~点击“阅读原文”,更多精彩