## Información Básica
**Terminal Access Controller Access Control System (TACACS)** es un protocolo de seguridad que proporciona validación centralizada de usuarios que intentan obtener **acceso a un router o NAS**. TACACS+, una versión más reciente del protocolo TACACS original, proporciona servicios separados de autenticación, autorización y contabilidad (AAA).
```
PORT STATE SERVICE
49/tcp open tacacs
```
**Puerto predeterminado:** 49
## Interceptar la clave de autenticación
Si un atacante logra interponerse entre el cliente y el servidor TACACS, **puede interceptar la clave de autenticación** en forma cifrada y luego realizar un ataque de fuerza bruta local contra ella. De esta manera, se puede realizar el ataque de fuerza bruta sin aparecer en los registros. Si se logra descifrar la clave, **se podrá acceder al equipo de red y descifrar el tráfico** en **Wireshark**.
### MitM
Para realizar un ataque MitM, se puede utilizar un [**ataque de suplantación de ARP**](../generic-methodologies-and-resources/pentesting-network/#arp-spoofing).
### Fuerza bruta de la clave
Ahora es necesario ejecutar [Loki](https://c0decafe.de/svn/codename\_loki/trunk/). Esta es una herramienta especial diseñada para analizar la seguridad de los protocolos L2/L3. Sus capacidades son tan buenas como las del popular **Yersinia** y es un competidor serio. Loki también puede realizar ataques de fuerza bruta contra claves TACACS. Si se logra **descifrar** la clave con éxito (**generalmente en formato cifrado MD5)**, **se puede acceder al equipo y descifrar el tráfico cifrado de TACACS**.
```
sudo loki_gtk.py
```
También es necesario especificar la ruta al diccionario para realizar un ataque de fuerza bruta a la clave encriptada. Asegúrate de desmarcar la opción **Use Bruteforce**, de lo contrario Loki intentará forzar la contraseña sin usar el diccionario.
Ahora debemos esperar a que un administrador inicie sesión en el dispositivo a través del servidor TACACS. Se asume que el administrador de red ya ha iniciado sesión, y nosotros, **interceptando el tráfico en el medio a través de ARP spoofing**, interceptamos el tráfico. Y al hacerlo, los hosts legítimos no se dan cuenta de que alguien más ha interferido en su conexión.
Ahora haz clic en el botón **CRACK** y espera a que **Loki** rompa la contraseña.
### Descifrar el tráfico
Genial, logramos desbloquear la clave, ahora necesitamos descifrar el tráfico TACACS. Como dije, Wireshark puede manejar el tráfico TACACS encriptado si la clave está presente.
Vemos qué banner se usó.
Encontramos el nombre de usuario del usuario `admin`
Como resultado, **tenemos las credenciales `admin:secret1234`,** que se pueden usar para acceder al hardware en sí. **Creo que verificaré su validez.**
Así es como puedes atacar TACACS+ y **obtener acceso** al panel de control del equipo de red.
## Referencias
* La sección de clave de intercepción se copió de [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos.
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).