hacktricks/network-services-pentesting/49-pentesting-tacacs+.md

49 - Pentesting TACACS+

Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

• Se você quer ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF, confira os PLANOS DE ASSINATURA!
• Adquira o material oficial PEASS & HackTricks
• Descubra A Família PEASS, nossa coleção de NFTs exclusivos
• Junte-se ao grupo 💬 Discord ou ao grupo telegram ou siga-me no Twitter 🐦 @carlospolopm.
• Compartilhe suas técnicas de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud no github.

Informações Básicas

Terminal Access Controller Access Control System (TACACS) é um protocolo de segurança que fornece validação centralizada de usuários que estão tentando obter acesso a um roteador ou NAS. TACACS+, uma versão mais recente do protocolo TACACS original, fornece serviços separados de autenticação, autorização e contabilidade (AAA).

PORT   STATE  SERVICE
49/tcp open   tacacs

Porta padrão: 49

Interceptação da Chave de Autenticação

Se um atacante conseguir se posicionar entre o cliente e o servidor TACACS, ele pode interceptar a chave de autenticação em forma criptografada e, em seguida, realizar um bruteforce local contra ela. Assim, você realiza o bruteforce da chave e não aparece nos logs. E se você conseguir realizar o bruteforce da chave, terá acesso ao equipamento de rede e poderá descriptografar o tráfego no Wireshark.

MitM

Para realizar um ataque MitM, você pode usar um ataque de ARP spoofing.

Brute-force da Chave

Agora você precisa executar o Loki. Esta é uma ferramenta especial projetada para analisar a segurança dos protocolos L2/L3. Suas capacidades são tão boas quanto as do popular Yersinia e é um sério concorrente dele. O Loki também pode realizar bruteforce em chaves TACACS. Se a chave for bruteforced com sucesso (geralmente em formato criptografado MD5), poderemos acessar o equipamento e descriptografar o tráfego criptografado pelo TACACS.

sudo loki_gtk.py

Você também precisa especificar o caminho para o dicionário para fazer bruteforce na chave criptografada. Certifique-se de desmarcar a opção **Use Bruteforce**, caso contrário, o Loki fará bruteforce na senha sem usar o dicionário.

Agora temos que esperar que um administrador faça login no dispositivo através do servidor TACACS. Presume-se que o administrador da rede já tenha feito login, e nós, **interceptando o tráfego via ARP spoofing**, interceptamos o tráfego. E ao fazer isso, os hosts legítimos não percebem que alguém interferiu em sua conexão.

Agora clique no botão **CRACK** e espere o **Loki** quebrar a senha.

### Descriptografar Tráfego

Ótimo, conseguimos desbloquear a chave, agora precisamos descriptografar o tráfego TACACS. Como eu disse, o Wireshark pode lidar com tráfego TACACS criptografado se a chave estiver presente.

Vemos qual banner foi usado.

Encontramos o nome de usuário do usuário `admin`

Como resultado, **temos as credenciais `admin:secret1234`,** que podem ser usadas para acessar o próprio hardware. **Acho que vou verificar a validade delas.**

É assim que você pode atacar TACACS+ e **ganhar acesso** ao painel de controle do equipamento de rede.

## Referências

* A seção de interceptação de chave foi copiada de [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)

<details>

<summary><strong>Aprenda AWS hacking do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>