提示：用户物理MAC地址已被修改

[lnterface]

RT，确认是使用V4的算法，但是认证的时候看记录，提示 用户物理MAC地址已被修改！ 然而网卡的MAC是正确的，并没有错。

[hyrathb]

你将mentohust认证时的抓包和官方客户端认证时的抓包邮件给我一份吧（可以暴力破解密码，不要发在这里。），顺便把客户端也发一份。

[lnterface]

已邮件发送，请查收

[czkwg8]

虽然你可能已经成功了，但我还是为后面的兄弟留下线索吧 有MAC绑定的学校，MAC地址在发包的时候会发两遍，抓包搜索一下就可以了 偷懒就直接改数组，当然也可以算一算填充位置，加一行memset就行

[updateing]

助攻：这是目前已知的字段类型，可以有的放矢该改的全改了。关于字段格式，可以看 这里

DHCP开关                          0x18 长度 0x04 （是个int，0关1开）

本机MAC地址                        0x2d 长度 0x06

密码校验值                          0x2f 长度 0x10 （非MD5-Challenge为0x0）

第二DNS地址ASCII表示                0x76 可变长度

EUI-64产生的IPv6本地链路地址         0x36 长度 0x10

隐私扩展产生的IPv6本地链路地址         0x38 长度 0x10

IPv6全球单播地址                    0x4e 长度 0x10

v3校验值                           0x4d 长度 0x80

服务名（GBK编码）                    0x39 长度 0x20 （空白填0）

硬盘序列号                          0x54 长度 0x40 （空白填0）

客户端版本字符串                     0x6f 可变长度

[hyrathb]

非常感谢 @updateing 。这样重构起来就很容易了。

[czkwg8]

看不出来就搜索，在MD5校验值之前的某个位置

2016-11-25 12:41 GMT+08:00 Xusser [email protected]:

@czkwg8 https://github.com/czkwg8 请问能否详细说下是哪里呢？我技术太差实在是没法看出来.........

— You are receiving this because you were mentioned. Reply to this email directly, view it on GitHub https://github.com/hyrathb/mentohust/issues/280#issuecomment-262879702, or mute the thread https://github.com/notifications/unsubscribe-auth/ABraez9I32-1E4s80mBFKRIF0HrI_mYlks5rBmbggaJpZM4J90Yl .

[shanzhaozhen]

我也是遇到这个问题，解决不了

用户物理MAC地址已被修改

[czkwg8]

说了一千次包里面还有一段是MAC地址，自己找找不行？

[shanzhaozhen]

@czkwg8 但是我真的认证找过没有第二段MAC地址了，MAC地址只出现在id和md5两个包的包头，先是认证目标的mac地址，紧接着就是本机的mac地址

[czkwg8]

@shanzhaozhen 正常的不正常的包各发一份给我吧 [email protected]

[shanzhaozhen]

@czkwg8 太粗心没有注意到mac的位置，因为在wireshark直接查找的，忽略了hex转存注释的部分，现在修改好了，可以正常认证。 接下来只剩下学校的网页认证的问题，mentohust认证成功后跳转不了电信网页的认证，不清楚是不是自己修改了电脑的hosts导致的。也可能是dns解析错误。 让你费心了，感谢你的帮助。

[zzuzayu]

@czkwg8 你好，我们学校是绑定MAC的，因此报错 MAC已被修改，看上面说到需要更改包里的MAC地址。但是请问是在哪更改呢？

[nature2608]

@zzuzayu 我昨晚刚解决这个问题,你可以去看 https://github.com/shanzhaozhen/mentohust_for_zqu/blob/master/src/mystate.c里面填充的mac的代码,或者直接在此基础上修改成适合你学校使用的客户端