5.8 KiB
Informations de base
Le Terminal Access Controller Access Control System (TACACS) est un protocole de sécurité qui fournit une validation centralisée des utilisateurs qui tentent d'accéder à un routeur ou à un NAS. TACACS+, une version plus récente du protocole TACACS original, fournit des services d'authentification, d'autorisation et de comptabilité (AAA) séparés.
PORT STATE SERVICE
49/tcp open tacacs
Port par défaut: 49
Intercepter la clé d'authentification
Si un attaquant parvient à se placer entre le client et le serveur TACACS, il peut intercepter la clé d'authentification sous forme chiffrée, puis effectuer une attaque de force brute locale contre elle. Ainsi, vous pouvez effectuer une attaque de force brute sur la clé et ne pas apparaître dans les journaux. Et si vous parvenez à effectuer une attaque de force brute sur la clé, vous pourrez accéder à l'équipement réseau et décrypter le trafic dans Wireshark.
MitM
Pour effectuer une attaque MitM, vous pouvez utiliser une attaque de spoofing ARP.
Attaque de force brute sur la clé
Maintenant, vous devez exécuter Loki. Il s'agit d'un outil spécial conçu pour analyser la sécurité des protocoles L2/L3. Ses capacités sont aussi bonnes que celles du populaire Yersinia et il est un concurrent sérieux. Loki peut également effectuer une attaque de force brute sur les clés TACACS. Si la clé est bruteforcée avec succès (généralement sous forme chiffrée MD5), nous pouvons accéder à l'équipement et décrypter le trafic chiffré TACACS.
sudo loki_gtk.py
Vous devez également spécifier le chemin d'accès au dictionnaire pour effectuer une attaque par force brute sur la clé chiffrée. Assurez-vous de décocher l'option Use Bruteforce, sinon Loki effectuera une attaque par force brute sur le mot de passe sans utiliser le dictionnaire.
Maintenant, nous devons attendre qu'un administrateur se connecte au périphérique via le serveur TACACS. On suppose que l'administrateur réseau s'est déjà connecté et que nous, en étant au milieu via ARP spoofing, interceptons le trafic. Et ce faisant, les hôtes légitimes ne réalisent pas que quelqu'un d'autre a interféré avec leur connexion.
Cliquez maintenant sur le bouton CRACK et attendez que Loki casse le mot de passe.
Decrypt Traffic
Super, nous avons réussi à déverrouiller la clé, maintenant nous devons décrypter le trafic TACACS. Comme je l'ai dit, Wireshark peut gérer le trafic TACACS chiffré si la clé est présente.
Nous voyons quelle bannière a été utilisée.
Nous trouvons le nom d'utilisateur de l'utilisateur admin
En conséquence, nous avons les informations d'identification admin:secret1234, qui peuvent être utilisées pour accéder au matériel lui-même. Je pense que je vais vérifier leur validité.
C'est ainsi que vous pouvez attaquer TACACS+ et accéder au panneau de contrôle de l'équipement réseau.
Références
- La section de clé d'interception a été copiée depuis https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Travaillez-vous dans une entreprise de cybersécurité ? Voulez-vous voir votre entreprise annoncée dans HackTricks ? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF ? Consultez les PLANS D'ABONNEMENT!
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Obtenez le swag officiel PEASS & HackTricks
- Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
- Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.