飘在云端

东西南北,海角天涯

· 备查 · · 769次浏览

网吧全局模式踩坑、Clash tun/Netch 中间人攻击、dns劫持

环境:Google Chrome 111.0.5563.65(正式版本) (64 位)

使用 Netch v1.9.7 全局模式,Wintun 驱动成功加载安装,部分不存在网址能访问,部分不能

检查 Netch 控制台输出信息,logging 目录下日志,发现虚拟网卡驱动 wintun 成功安装并加载,所有日志正常,但...

youtube/google/pixiv/bing(真国际版非重定向特供国际版)/......

上面似乎都是主域名被完全屏蔽,其部分子域名能被加速访问

测了下 steam、 dmm,能访问,尚不知道屏蔽标准

访问 youtube 得到谷歌浏览器报显示不安全提示,因为 youtube 被硬编码到谷歌内置 hsts 名单,无法绕过,这让我注意到证书问题

请输入图片描述

发现大量著名根CA不被信任?刻意为之?删的一干二净

请输入图片描述

请输入图片描述

进行进一步彻底检查,使用微软的 sigcheck 签名工具彻查电脑的证书问题

sigcheck64 -accepteula -tuv -u -vrs

sigcheck 访问 virustotal 的过程倒是被加速了

请输入图片描述

以查出的颁发者关键字搜索证书区域,得到2个自签的根CA,我全部移除,有意思的是,这2个自签证书的颁发者名字是本台电脑的设备名称,并且颁发时间是本次开机时间,有效期是10年

继续修复,导入了访问这些缺失根CA的不被信任https 域名,之后 youtube 恢复正常

但是 google.com 不行,这个报错是 SNI 未包含谷歌域名。而是 facebook 的通配符域名,奇怪了,不知道是不是还有中间人攻击

请输入图片描述

pixiv.net 则是 timeout 无法访问,但必定不是节点问题

准备进一步操作时,netch 停止加速失败,电脑进入假死.....

趁其他程序还能动的时候,保存一下博文草稿,并继续检查一些关键位置

sigcheck -u -e c:/windows/system32

请输入图片描述

使用其他浏览器看看能不能绕过 hsts,或者还是存在持续中间人攻击

换了世界之窗7,断开 netch 重新启动,结果世界之窗7之前能访问的 youtube 不能访问了,好像还被 DNS 劫持了

请输入图片描述

请输入图片描述

给了我个提醒,改了一下 Netch 一项设置,最后所有域名完全正常了

请输入图片描述

请输入图片描述

请输入图片描述

我太难了

评论 (0条)