AWS Hacking'i öğrenin ve pratik yapın:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
GCP Hacking'i öğrenin ve pratik yapın: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* [**abonelik planlarını**](https://github.com/sponsors/carlospolop) kontrol edin!
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın ya da **Twitter'da****bizi takip edin** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
**IPsec**, ağlar (LAN-to-LAN) arasında ve uzaktan kullanıcıların ağ geçidine (uzaktan erişim) iletişimini güvence altına almak için ana teknoloji olarak geniş çapta tanınmaktadır ve kurumsal VPN çözümlerinin belkemiğini oluşturmaktadır.
İki nokta arasında bir **güvenlik ilişkisi (SA)** kurulumu, kimlik doğrulama ve anahtar değişimi için tasarlanmış bir protokol olan ISAKMP çerçevesinde çalışan **IKE** tarafından yönetilmektedir. Bu süreç birkaç aşamada gerçekleşir:
* **Aşama 1:** İki uç nokta arasında güvenli bir kanal oluşturulur. Bu, bir Önceden Paylaşılan Anahtar (PSK) veya sertifikalar kullanılarak, üç mesaj çiftini içeren ana mod veya **agresif mod** kullanılarak gerçekleştirilir.
* **Aşama 1.5:** Zorunlu olmamakla birlikte, bu aşama, bağlantı kurmaya çalışan kullanıcının kimliğini doğrulamak için bir kullanıcı adı ve şifre gerektiren Genişletilmiş Kimlik Doğrulama Aşaması olarak bilinir.
* **Aşama 2:** Bu aşama, verileri **ESP** ve **AH** ile güvence altına almak için parametrelerin müzakere edilmesine adanmıştır. **Mükemmel İleri Gizlilik (PFS)** sağlamak için Aşama 1'deki algoritmalardan farklı algoritmaların kullanılmasına izin verir, güvenliği artırır.
IPSec yapılandırması yalnızca bir veya birkaç dönüşümü kabul edecek şekilde hazırlanabilir. Bir dönüşüm, değerlerin bir kombinasyonudur. **Her dönüşüm**, DES veya 3DES gibi **şifreleme algoritması**, SHA veya MD5 gibi **bütünlük algoritması**, önceden paylaşılan bir anahtar gibi **kimlik doğrulama türü**, Diffie-Hellman 1 veya 2 gibi anahtar **dağıtım algoritması** ve 28800 saniye gibi **ömür** gibi bir dizi özellik içerir.
O zaman, yapmanız gereken ilk şey **geçerli bir dönüşüm bulmak**, böylece sunucu sizinle iletişim kuracaktır. Bunu yapmak için **ike-scan** aracını kullanabilirsiniz. Varsayılan olarak, Ike-scan ana modda çalışır ve bir ISAKMP başlığı ile birlikte bir paketi geçide gönderir ve **içinde sekiz dönüşüm bulunan** tek bir öneri gönderir.
As you can see in the previous response, there is a field called **AUTH** with the value **PSK**. This means that the vpn is configured using a preshared key (and this is really good for a pentester).\
* _0 dönen el sıkışma; 0 dönen bildirim:_ Bu, hedefin **bir IPsec geçidi olmadığını** gösterir.
* _**1 dönen el sıkışma; 0 dönen bildirim:**_ Bu, **hedefin IPsec için yapılandırıldığını ve IKE müzakeresi yapmaya istekli olduğunu, önerdiğiniz dönüşümlerden birinin veya daha fazlasının kabul edilebilir olduğunu** gösterir (geçerli bir dönüşüm çıktıda gösterilecektir).
* _0 dönen el sıkışma; 1 dönen bildirim:_ VPN geçitleri, **dönüşümlerin hiçbiri kabul edilebilir olmadığında** bir bildirim mesajı ile yanıt verir (bazı geçitler bunu yapmaz, bu durumda daha fazla analiz ve revize edilmiş bir teklif denenmelidir).
Eğer brute-force işe yaramadıysa, belki de sunucu, geçerli dönüşümlere bile el sıkışmaları olmadan yanıt veriyordur. O zaman, aynı brute-force'u ama agresif mod kullanarak deneyebilirsiniz:
Cisco, DH grupları 1 ve 2'nin yeterince güçlü olmadığını belirterek kullanılmamasını öneriyor. Uzmanlar, **kaynakları bol olan ülkelerin bu zayıf grupları kullanan verilerin şifrelemesini kolayca kırabileceğine** inanıyor. Bu, kodları hızlı bir şekilde kırmaya hazırlayan özel bir yöntem kullanılarak yapılır. Bu yöntemi kurmanın maliyeti yüksek olsa da, bu güçlü ülkelerin, zayıf bir grup (örneğin 1,024-bit veya daha küçük) kullanıyorsa şifrelenmiş verileri gerçek zamanlı olarak okumalarına olanak tanır.
Daha sonra, cihazın **satıcısını keşfetmek** için ike-scan kullanabilirsiniz. Araç, bir başlangıç önerisi gönderir ve tekrar oynamayı durdurur. Ardından, sunucudan alınan **mesajlar** ile eşleşen yanıt deseninin **zaman** farkını**analiz** ederek, pentester VPN geçidi satıcısını başarıyla parmak izi alabilir. Ayrıca, bazı VPN sunucuları IKE ile isteğe bağlı**Satıcı Kimliği (VID) yükünü** kullanacaktır.
Hash'i yakalamak için geçerli bir dönüşüm ve doğru ID (grup adı) gereklidir. Geçerli grup adını muhtemelen bilemeyeceksiniz, bu yüzden bunu brute-force ile bulmanız gerekecek.\
Eğer **hiçbir hash döndürülmüyorsa**, o zaman bu brute forcing yöntemi muhtemelen işe yarayacaktır. **Eğer bazı hash'ler döndürülüyorsa, bu sahte bir ID için sahte bir hash'in geri gönderileceği anlamına gelir, bu nedenle bu yöntem ID'yi brute-force etmek için güvenilir olmayacaktır.** Örneğin, sahte bir hash döndürülebilir (bu modern versiyonlarda olur):
Bu script **mümkün olan ID'leri brute-force etmeye çalışacak** ve geçerli bir el sıkışma döndürülen ID'leri geri döndürecektir (bu geçerli bir grup adı olacaktır).
Eğer belirli bir dönüşüm keşfettiyseniz, bunu ike-scan komutuna ekleyin. Ve eğer birkaç dönüşüm keşfettiyseniz, hepsini denemek için yeni bir döngü eklemekten çekinmeyin (birisi düzgün çalışana kadar hepsini denemelisiniz).
Yaygın grup adlarını brute-force etmek için [ikeforce sözlüğünü](https://github.com/SpiderLabs/ikeforce/blob/master/wordlists/groupnames.dic) veya [seclists'teki](https://github.com/danielmiessler/SecLists/blob/master/Miscellaneous/ike-groupid.txt) birini kullanabilirsiniz:
[**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py) ayrıca olası grup adlarını kırmak için **ike-scan** kullanır. **ike-scan çıktısına dayanarak geçerli bir ID bulmak için** kendi yöntemini izler.
[**ikeforce.py**](https://github.com/SpiderLabs/ikeforce) **ID'leri kırmak için** kullanılabilecek bir araçtır. Bu araç, **geçerli ve geçersiz bir ID'yi ayırt etmek için kullanılabilecek farklı zafiyetleri istismar etmeye çalışacaktır** (yanlış pozitifler ve yanlış negatifler olabilir, bu yüzden mümkünse ike-scan yöntemini kullanmayı tercih ediyorum).
* **Birinci yöntem**, grup adlarını**araştırarak****Dead Peer Detection DPD** bilgilerini kırmaktır (bu bilgi yalnızca grup adı doğruysa sunucu tarafından tekrar gönderilir).
* **İkinci yöntem**, her denemeye gönderilen yanıt sayısını**kontrol etmektir** çünkü bazen doğru ID kullanıldığında daha fazla paket gönderilir.
* **Üçüncü yöntem**, yanlış ID'ye yanıt olarak **"INVALID-ID-INFORMATION"** aramaktır.
* Son olarak, sunucu kontrollerine hiçbir yanıt vermezse, **ikeforce** sunucuyu kırmaya çalışacak ve doğru ID gönderildiğinde sunucunun bazı paketlerle yanıt verip vermediğini kontrol edecektir.\
Açıkça, ID'yi kırmanın amacı geçerli bir ID'ye sahip olduğunuzda **PSK**'yı elde etmektir. Ardından, **ID** ve **PSK** ile XAUTH'ı kırmanız gerekecek (eğer etkinse).
Belirli bir dönüşüm keşfettiyseniz, bunu ikeforce komutuna ekleyin. Ve birden fazla dönüşüm keşfettiyseniz, hepsini denemek için yeni bir döngü eklemekten çekinmeyin (birinin düzgün çalışana kadar hepsini denemelisiniz).
(From the book **Network Security Assessment: Know Your Network**): VPN istemcisi ve sunucusu arasındaki bağlantıyı dinleyerek geçerli kullanıcı adları elde etmek de mümkündür, çünkü istemci kimliğini içeren ilk agresif mod paketi açık bir şekilde gönderilmektedir.
Son olarak, eğer **geçerli bir dönüşüm** ve **grup adı** bulduysanız ve **agresif mod izin veriliyorsa**, o zaman kırılabilir hash'i çok kolay bir şekilde elde edebilirsiniz:
Hash'i **crack** etmek için **psk-crack**, **john** ([**ikescan2john.py**](https://github.com/truongkma/ctf-tools/blob/master/John/run/ikescan2john.py) kullanarak) ve **hashcat** kullanabilirsiniz:
**Agresif mod IKE**, **Önceden Paylaşılan Anahtar (PSK)** ile birleştirildiğinde, genellikle **grup kimlik doğrulama** amaçları için kullanılır. Bu yöntem, ek bir **kullanıcı kimlik doğrulama** katmanı eklemek için **XAuth (Genişletilmiş Kimlik Doğrulama)** ile güçlendirilmiştir. Bu tür kimlik doğrulama genellikle **Microsoft Active Directory**, **RADIUS** veya benzeri sistemler gibi hizmetleri kullanır.
**IKEv2**'ye geçişte, kullanıcıları kimlik doğrulamak amacıyla **XAuth** yerine **EAP (Genişletilebilir Kimlik Doğrulama Protokolü)** kullanıldığına dair önemli bir değişiklik gözlemlenmektedir. Bu değişiklik, güvenli iletişim protokollerindeki kimlik doğrulama uygulamalarında bir evrimi vurgular.
Bu nedenle, _fiked_ kullanarak giriş verilerini yakalayabilir ve varsayılan bir kullanıcı adı olup olmadığını görebilirsiniz (IKE trafiğini yakalamak için `fiked`'e yönlendirmeniz gerekir, bu ARP sahtekarlığı yardımıyla yapılabilir, [daha fazla bilgi](https://opensourceforu.com/2012/01/ipsec-vpn-penetration-testing-backtrack-tools/)). Fiked, bir VPN uç noktası olarak hareket edecek ve XAuth kimlik bilgilerini yakalayacaktır:
Ayrıca, IPSec kullanarak bir MitM saldırısı yapmayı deneyin ve tüm trafiği 500 numaralı porta engelleyin, eğer IPSec tüneli kurulamazsa belki trafik açık olarak gönderilecektir.
**XAUTH**'ı brute force yapmak için (geçerli bir grup adı**id** ve **psk** bildiğinizde) bir kullanıcı adı veya kullanıcı adları listesi ve bir şifreler listesi kullanabilirsiniz:
Kali'de, **VPNC** IPsec tünelleri kurmak için kullanılır. **profiller**`/etc/vpnc/` dizininde bulunmalıdır. Bu profilleri _**vpnc**_ komutunu kullanarak başlatabilirsiniz.
Learn & practice AWS Hacking:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Learn & practice GCP Hacking: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
