【实战】利用高墙漏洞让整个公司无法访问海外IP的80端口-IT狗

【前情提要】
最近几天在写 域名被墙和被污染 的检测工具，为了检测域名本身是否被墙，有以下几个场景需要实现。

1、域名未建站的情况下也可以检测，主要用于域名投资者或个人站长，对未启用、未注册的域名进行检测 （已实现）
2、域名解析的IP被墙不影响检测结果，我们只检测域名是否被墙，不检测IP是否被墙，IP被墙可以换IP，域名被墙就没戏了 （已实现）
3、域名指向的网站服务器屏蔽了大陆访问，不干扰检测结果，我们只检测域名本身（已实现）

另外，在实测中，有发现部分域名出现间歇性被墙的情况，即：在域名被墙检测结果无误的情况下，一会儿被墙，一会儿正常。
为了验证域名间歇性被墙是否客观存在，于是除了在IT狗平台检测，也同时在其他几个平台检测。

测试域名：www.zdzkvip.com 就是间歇性被墙的典型案例。
实验结果：平均每10次检测中，大多都存在2条或以上的被墙结果。

boce.com 检测截图

check.lzfh.com 检测截图（作者是LOC的MJJ）

IT狗 检测截图

【高墙漏洞让整个公司无法访问海外IP的80端口】
这个问题是在写域名被墙检测的时候发现的，切勿利用漏洞危害他人。
1、高墙会对已经被墙（但未被污染的）的域名所指向的海外IP，进行tcp劫持、重置请求。
2、于是我把本地电脑的hosts里，加入一条记录： xxx.xxx.xxx.xxxbaidu2.com，打开浏览器访问一次： http://baidu2.com（只可以访问http，因为被墙但未被污染的域名，只劫持80端口的tcp）
3、原本可以正常访问的海外IP：xxx.xxx.xxx.xxx 上的网站（http 80端口），现在访问不了，tcp被劫持（为了验证tcp是否被劫持，本地电脑用tcping 80端口，看延迟，美国IP都被tcp劫持后，tcping测出的端口延迟只有40ms）
4、看到这里，大家肯定以为仅仅是本机电脑被劫持，神奇的来了，同一个wifi下的所有电脑、手机（当然也包括平板，只是没测试），都访问不了指定IP的80端口，都是tcp被劫持，连接被重置。
5、这个效果会在访问那个被墙的域名（http://baidu2.com）后，持续 120s左右，本地电脑挂机刷 http://baidu2.com 的话，整个wifi下所有的终端都一直无法访问指定IP的80端口了。
6、如果有MJJ要在家实验，请注意我上面说的每一个细节，不然没有效果别说我忽悠人。
7、切勿干坏事！切勿干坏事！切勿干坏事！

【致高墙项目的工作人员】
作为高墙项目工作人员的您，肯定有来LOC，所以希望您看到此贴后能向内部反映一下最近波及很广的两个问题：
（1）假墙（可能是通过若干个国内的IP高频率的向海外IP请求一些违规词，导致被高墙判定为违规IP，然后拦截TCP）
（2）还有我上述的tcp被劫持的情况。

热议
推荐楼 Auto 3小时前

致高墙项目的工作人员？

广告就广告了，建议把IT狗域名列入墙名单

推荐楼 mmc199 3小时前

致高墙项目的工作人员？

广告就广告了，建议把IT狗域名列入墙名单

看来你真的是h20

推荐楼 二氧化碳 3小时前

Auto 发表于 2021-8-17 17:02
致高墙项目的工作人员？

广告就广告了，建议把IT狗域名列入墙名单

loc确实有，之前在电报群里面甚至说了版本号和更新时间

2楼 Zeros 3小时前

活学活用，这就用来瘫痪公司服务

6楼 ziyounb 3小时前

网站不错，收藏了。

7楼 ismile 3小时前

支持一下吧

8楼 nala 3小时前

心子真大！
80端口流量明文，公司出口路由镜像口+免费的DPI检测就能把你揪出来。

直接JCSS带走。。。。

9楼 我太难了 3小时前

那是不是出国的时候我在正常ip的基础上加上被墙域名，正常ip就死了

10楼 haole 2小时前

本地ip被针对了。当然是针对所有用这个ip上网的机器，而不是设备。你的设备能有什么特征，难道针对你的mac或者cpu进行断联吗？

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。