hacktricks/network-services-pentesting/49-pentesting-tacacs+.md

# 基本信息

**终端访问控制器访问控制系统（TACACS）**是一种安全协议，用于对试图访问路由器或NAS的用户进行集中验证。TACACS+是原始TACACS协议的更新版本，提供了独立的身份验证、授权和计费（AAA）服务。
```
PORT   STATE  SERVICE
49/tcp open   tacacs
```
**默认端口：**49

## 拦截认证密钥

如果攻击者成功介入客户端和TACACS服务器之间，**他可以拦截加密形式的认证密钥**，然后对其进行本地暴力破解。这样你既可以暴力破解密钥，又不会在日志中留下痕迹。如果你成功暴力破解密钥，**你将能够访问网络设备并在Wireshark中解密流量**。

### 中间人攻击

为了进行中间人攻击，你可以使用[**ARP欺骗攻击**](../generic-methodologies-and-resources/pentesting-network/#arp-spoofing)。

### 暴力破解密钥

现在你需要运行[Loki](https://c0decafe.de/svn/codename\_loki/trunk/)。这是一个专门用于分析L2/L3协议安全性的工具。它的功能与流行的**Yersinia**一样出色，是其严肃的竞争对手。Loki还可以暴力破解TACACS密钥。如果密钥成功**暴力破解**（通常是MD5加密格式），**我们就可以访问设备并解密TACACS加密的流量**。
```
sudo loki_gtk.py
```
<figure><img src="../.gitbook/assets/image (31) (2).png" alt=""><figcaption></figcaption></figure>

您还需要指定字典的路径，以便对加密密钥进行暴力破解。请确保取消选中**使用暴力破解**选项，否则Loki将在不使用字典的情况下对密码进行暴力破解。

<figure><img src="../.gitbook/assets/image (11) (2).png" alt=""><figcaption></figcaption></figure>

现在我们需要等待管理员通过TACACS服务器登录设备。假设网络管理员已经登录，而我们通过ARP欺骗**站在中间**拦截流量。这样做，合法的主机不会意识到有其他人干扰了他们的连接。

<figure><img src="../.gitbook/assets/image (8) (2) (3).png" alt=""><figcaption></figcaption></figure>

现在点击**CRACK**按钮，等待**Loki**破解密码。

<figure><img src="../.gitbook/assets/image (17) (2).png" alt=""><figcaption></figcaption></figure>

### 解密流量

太棒了，我们成功解锁了密钥，现在我们需要解密TACACS流量。正如我所说，如果存在密钥，Wireshark可以处理加密的TACACS流量。

<figure><img src="../.gitbook/assets/image (28) (1).png" alt=""><figcaption></figcaption></figure>

我们可以看到使用了哪个横幅。

<figure><img src="../.gitbook/assets/image (24) (1) (2).png" alt=""><figcaption></figcaption></figure>

我们找到了用户`admin`的用户名。

<figure><img src="../.gitbook/assets/image (7) (1) (1).png" alt=""><figcaption></figcaption></figure>

结果，**我们获得了`admin:secret1234`的凭据**，可以用来访问硬件本身。**我想我会检查它们的有效性。**

<figure><img src="../.gitbook/assets/image (19) (2).png" alt=""><figcaption></figcaption></figure>

这就是您攻击TACACS+并**获得访问权限**到网络设备控制面板的方法。

## 参考资料

* 拦截密钥部分来自[https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* 您在**网络安全公司**工作吗？您想在HackTricks中看到您的**公司广告**吗？或者您想获得**PEASS的最新版本或下载PDF格式的HackTricks**吗？请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 发现我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)
* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
* **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord群组**](https://discord.gg/hRep4RUj7f)或[**电报群组**](https://t.me/peass)，或在**Twitter**上**关注**我[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
* **通过向**[**hacktricks repo**](https://github.com/carlospolop/hacktricks) **和**[**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud) **提交PR来分享您的黑客技巧。**

</details>