hacktricks/network-services-pentesting/49-pentesting-tacacs+.md
2023-06-03 13:10:46 +00:00

5.8 KiB

Informations de base

Le Terminal Access Controller Access Control System (TACACS) est un protocole de sécurité qui fournit une validation centralisée des utilisateurs qui tentent d'accéder à un routeur ou à un NAS. TACACS+, une version plus récente du protocole TACACS original, fournit des services d'authentification, d'autorisation et de comptabilité (AAA) séparés.

PORT   STATE  SERVICE
49/tcp open   tacacs

Port par défaut: 49

Intercepter la clé d'authentification

Si un attaquant parvient à se placer entre le client et le serveur TACACS, il peut intercepter la clé d'authentification sous forme chiffrée, puis effectuer une attaque de force brute locale contre elle. Ainsi, vous pouvez effectuer une attaque de force brute sur la clé et ne pas apparaître dans les journaux. Et si vous parvenez à effectuer une attaque de force brute sur la clé, vous pourrez accéder à l'équipement réseau et décrypter le trafic dans Wireshark.

MitM

Pour effectuer une attaque MitM, vous pouvez utiliser une attaque de spoofing ARP.

Attaque de force brute sur la clé

Maintenant, vous devez exécuter Loki. Il s'agit d'un outil spécial conçu pour analyser la sécurité des protocoles L2/L3. Ses capacités sont aussi bonnes que celles du populaire Yersinia et il est un concurrent sérieux. Loki peut également effectuer une attaque de force brute sur les clés TACACS. Si la clé est bruteforcée avec succès (généralement sous forme chiffrée MD5), nous pouvons accéder à l'équipement et décrypter le trafic chiffré TACACS.

sudo loki_gtk.py

Vous devez également spécifier le chemin d'accès au dictionnaire pour effectuer une attaque par force brute sur la clé chiffrée. Assurez-vous de décocher l'option Use Bruteforce, sinon Loki effectuera une attaque par force brute sur le mot de passe sans utiliser le dictionnaire.

Maintenant, nous devons attendre qu'un administrateur se connecte au dispositif via le serveur TACACS. On suppose que l'administrateur réseau s'est déjà connecté et que nous, en étant au milieu via ARP spoofing, interceptons le trafic. Et ce faisant, les hôtes légitimes ne réalisent pas que quelqu'un d'autre a interféré avec leur connexion.

Cliquez maintenant sur le bouton CRACK et attendez que Loki casse le mot de passe.

Decrypt Traffic

Super, nous avons réussi à déverrouiller la clé, maintenant nous devons décrypter le trafic TACACS. Comme je l'ai dit, Wireshark peut gérer le trafic TACACS chiffré si la clé est présente.

Nous voyons quelle bannière a été utilisée.

Nous trouvons le nom d'utilisateur de l'utilisateur admin

En conséquence, nous avons les informations d'identification admin:secret1234, qui peuvent être utilisées pour accéder au matériel lui-même. Je pense que je vais vérifier leur validité.

C'est ainsi que vous pouvez attaquer TACACS+ et accéder au panneau de contrôle de l'équipement réseau.

Références

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥