## Informação Básica

O **Terminal Access Controller Access Control System (TACACS)** é um protocolo de segurança que fornece validação centralizada de usuários que estão tentando obter **acesso a um roteador ou NAS**. O TACACS+, uma versão mais recente do protocolo TACACS original, fornece serviços separados de autenticação, autorização e contabilidade (AAA).
```
PORT   STATE  SERVICE
49/tcp open   tacacs
```
**Porta padrão:** 49

## Interceptação da chave de autenticação

Se um atacante conseguir se colocar no meio do caminho entre o cliente e o servidor TACACS, **ele pode interceptar a chave de autenticação** em forma criptografada e, em seguida, fazer uma força bruta local contra ela. Assim, você pode fazer a força bruta na chave e não aparecer nos logs. E se você conseguir fazer a força bruta na chave, **você poderá acessar o equipamento de rede e decifrar o tráfego** no **Wireshark**.

### MitM

Para realizar um ataque MitM, você pode usar um [ataque de spoofing ARP](../generic-methodologies-and-resources/pentesting-network/#arp-spoofing).

### Força bruta na chave

Agora você precisa executar o [Loki](https://c0decafe.de/svn/codename\_loki/trunk/). Esta é uma ferramenta especial projetada para analisar a segurança de protocolos L2/L3. Suas capacidades são tão boas quanto as do popular **Yersinia** e é um concorrente sério para ele. Loki também pode fazer a força bruta nas chaves TACACS. Se a chave for **forçada com sucesso (geralmente em formato criptografado MD5)**, **podemos acessar o equipamento e decifrar o tráfego criptografado do TACACS.**
```
sudo loki_gtk.py
```
<figure><img src="../.gitbook/assets/image (31) (2).png" alt=""><figcaption></figcaption></figure>

Você também precisa especificar o caminho para o dicionário para fazer a força bruta da chave criptografada. Certifique-se de desmarcar a opção **Use Bruteforce**, caso contrário, o Loki fará a força bruta da senha sem usar o dicionário.

<figure><img src="../.gitbook/assets/image (11) (2).png" alt=""><figcaption></figcaption></figure>

Agora temos que esperar um administrador fazer login no dispositivo através do servidor TACACS. Supõe-se que o administrador de rede já tenha feito login e nós, **interceptando o tráfego via ARP spoofing**, interceptamos o tráfego. E ao fazer isso, os hosts legítimos não percebem que outra pessoa interferiu em sua conexão.

<figure><img src="../.gitbook/assets/image (8) (2) (3).png" alt=""><figcaption></figcaption></figure>

Agora clique no botão **CRACK** e aguarde o **Loki** quebrar a senha.

<figure><img src="../.gitbook/assets/image (17) (2).png" alt=""><figcaption></figcaption></figure>

### Decifrar Tráfego

Ótimo, conseguimos desbloquear a chave, agora precisamos decifrar o tráfego TACACS. Como eu disse, o Wireshark pode lidar com o tráfego TACACS criptografado se a chave estiver presente.

<figure><img src="../.gitbook/assets/image (28) (1).png" alt=""><figcaption></figcaption></figure>

Vemos qual banner foi usado.

<figure><img src="../.gitbook/assets/image (24) (1) (2).png" alt=""><figcaption></figcaption></figure>

Encontramos o nome de usuário do usuário `admin`

<figure><img src="../.gitbook/assets/image (7) (1) (1).png" alt=""><figcaption></figcaption></figure>

Como resultado, **temos as credenciais `admin:secret1234`,** que podem ser usadas para acessar o próprio hardware. **Acho que vou verificar sua validade.**

<figure><img src="../.gitbook/assets/image (19) (2).png" alt=""><figcaption></figcaption></figure>

É assim que você pode atacar o TACACS+ e **ganhar acesso** ao painel de controle do equipamento de rede.

## Referências

* A seção de chave de interceptação foi copiada de [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).

</details>