飛機航班上提供的wifi太貴？咱們教你怎麼把它變成免費的

做者：陳迪

BitTiger尊重原創版權，轉載已經通過受權。

 

注：本文僅適用於gogoinflight提供的wifi。

1. 連上gogoinflight wifi. 嘗試打開https://www.google.com, 若是不能正常打開，斷開重連直到能夠正常打開。

2. 打開terminal: 在右上角搜索欄輸入terminal，單擊第一個打開terminal。

 

 

 

3. 這時應該看到以下界面。輸入: sudo -i, 回車。輸入電腦帳戶密碼（必須以管理員帳戶登陸）

 

 

4. 輸入ping www.google.com，回車。

 

 

5. 記下ip地址。按ctrl+c結束ping指令。

 

 

 

 

6. 輸入下面指令(把74.125.225.148改爲上面的ip)

echo "74.125.225.148 http://jttm-server-prox.appspot.com" > temp_gogo

cat temp_gogo >> /etc/hosts

rm temp_gogo

 

 

7. 打開瀏覽器輸入 https://jttm-server-prox.appspot.com/，打開。注意：必定要用https打開。

 

 

8. 這時會到一個網頁代理，直接輸入要訪問的網址就能夠了。

9. 要訪問http://google.com域名下的服務，好比http://mail.google.com。只要重複1-6步，把http://jttm-server-prox.appspot.com改爲想上的地址，好比http://mail.google.com就能夠了。http://Google.com域名下的網站用這個方法比較好。

 

Tips:

須要登陸的網站訪問有問題，這個網頁代理寫得比較簡陋。

不要輸入任何用戶名密碼，不然風險本身承擔。

須要從原網站載入的內容可能顯示不了，須要跳轉的網站也可能顯示不了。能夠用百度快照訪問大部分須要的網站。

小說之類的，去百度貼吧找還不錯。

https的網站載入可能有問題。

OK，如今已經能夠訪問大部分網站了。

下面稍微講下這個漏洞的原理。

這個漏洞暴漏出來是由於個人主頁是www.google.com。而後我臉上gogoinflight的時候自動就載入了，沒有要求我買wifi，並且全部的搜索功能均可用。我覺得是全部google域名均可以避免費上，後來發現只有www.google.com。

後來ping了一下www.google.com, 發現能夠解析域名，說明gogo不是用域名屏蔽，是用ip屏蔽的，那麼只要訪問的ip跟www.google.com同樣，就不會被重定向。因此只要改一下iptables之類本地解析ip的文件就能夠了，因此在mac和linux下只要修改/etc/hosts就能夠上網了。

可是這個方法只能上google的網站，由於全部的訪問請求仍是發給google的服務器，因此只有http://google.com相關的網站才能上。可是google提供app engine服務，用的是跟http://google.com同樣的服務器，因此只要用網頁代理是基於app engine的就能夠用來訪問其餘非http://google.com的網站了。稍微搜一下就發現這個jttm-server-prox.appspot.com. 不過gogo好像也用了端口屏蔽，全部80端口的請求都不能經過，因此只能用https訪問那個代理，443端口是沒有屏蔽的。緣由應該是gogo用了相似man-in-the-middle的方法重定向，若是把443也重定向的話，證書認證就沒辦法經過。（此處請大牛指正）

關於mitm攻擊的一點改進想法：

mitm攻擊能夠把用戶重定向到釣魚網站嗎？好比收到http://google.com的hanshake請求的時候回覆一個重定向的response。

若是能夠的話，徹底能夠作一個帶script inject的代理服務器，而後把全部用戶重定向到那個代理服務器，服務器代理訪問的時候插入修改地址欄的script，這樣用戶徹底看出來有什麼異樣，由於連 https訪問的證書警告也不會出現。

關鍵應該是能不能在作mitm攻擊的時候直接回複用戶一個重定向的response。（求大牛指點）

寫這篇日誌以前已經跟computer securit的professor諮詢過相關網絡安全的法律規定，並且也給gogoinflight發了郵件說明這個漏洞。

本文做者

陳迪, Software Engineer @ Bloomberg

物理競賽本科保送上海交通大學，並得到密西根大學安娜堡分校的 Computer Science 雙學位。大學期間曾在 Blackrock 基礎架構組實習，畢業以後加入 Bloomberg Trading System 基礎架構組。 大學期間曾參與天然語言處理研究，主要專一於多語言文字預習類似度比較。工做後主要專一在數據採集，機器學習，分佈式系統的 Project 上。曾經採集全網中文新聞，全網中文小說等語料信息，而且實現了基於深度學習的中文字詞向量自動生成。 喜歡嘗試新技術，作一些有趣的 Project。

 

設立於硅谷，專一於編程、數據分析、UIUX設計的在線學習平臺：BitTiger。