hacktricks/network-services-pentesting/49-pentesting-tacacs+.md

49 - Pentesting TACACS+

Aprende hacking en AWS de cero a héroe con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF revisa los PLANES DE SUSCRIPCIÓN!
• Consigue el merchandising oficial de PEASS & HackTricks
• Descubre La Familia PEASS, nuestra colección de NFTs exclusivos
• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de github de HackTricks y HackTricks Cloud.

Información Básica

Terminal Access Controller Access Control System (TACACS) es un protocolo de seguridad que proporciona validación centralizada de usuarios que intentan obtener acceso a un router o NAS. TACACS+, una versión más reciente del protocolo TACACS original, proporciona servicios separados de autenticación, autorización y contabilidad (AAA).

PORT   STATE  SERVICE
49/tcp open   tacacs

Puerto predeterminado: 49

Interceptación de Clave de Autenticación

Si un atacante logra interponerse entre el cliente y el servidor TACACS, puede interceptar la clave de autenticación en forma encriptada y luego realizar un ataque de fuerza bruta local contra ella. Así, realizas fuerza bruta contra la clave y no apareces en los registros. Y si logras descifrar la clave con éxito, podrás acceder al equipo de red y descifrar el tráfico en Wireshark.

MitM

Para realizar un ataque MitM podrías usar un ataque de spoofing ARP.

Fuerza Bruta de la Clave

Ahora necesitas ejecutar Loki. Esta es una herramienta especial diseñada para analizar la seguridad de los protocolos L2/L3. Sus capacidades son tan buenas como las del popular Yersinia y es un serio competidor de este. Loki también puede realizar fuerza bruta en las claves TACACS. Si la clave se descifra con éxito (generalmente en formato encriptado MD5), podemos acceder al equipo y descifrar el tráfico encriptado por TACACS.

sudo loki_gtk.py

También necesitas especificar la ruta al diccionario para hacer fuerza bruta a la clave encriptada. Asegúrate de desmarcar la opción **Use Bruteforce**, de lo contrario, Loki hará fuerza bruta a la contraseña sin usar el diccionario.

Ahora tenemos que esperar a que un administrador inicie sesión en el dispositivo a través del servidor TACACS. Se asume que el administrador de la red ya ha iniciado sesión, y nosotros, **interceptando el tráfico en medio mediante ARP spoofing**, interceptamos el tráfico. Y al hacerlo, los hosts legítimos no se dan cuenta de que alguien más ha interferido con su conexión.

Ahora haz clic en el botón **CRACK** y espera a que **Loki** descifre la contraseña.

### Descifrar Tráfico

Genial, logramos desbloquear la clave, ahora necesitamos descifrar el tráfico TACACS. Como dije, Wireshark puede manejar el tráfico TACACS encriptado si la clave está presente.

Vemos qué banner se utilizó.

Encontramos el nombre de usuario del usuario `admin`

Como resultado, **tenemos las credenciales `admin:secret1234`,** que se pueden utilizar para acceder al hardware en sí. **Creo que verificaré su validez.**

Así es como puedes atacar TACACS+ y **ganar acceso** al panel de control del equipo de red.

## Referencias

* La sección de la clave de intercepción fue copiada de [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>