500/udp - Pentesting IPsec/IKE VPN
Try Hard Security Group
基本信息
IPsec 被广泛认可为用于保护网络之间通信(LAN 到 LAN)以及远程用户到网络网关(远程访问)的主要技术,是企业 VPN 解决方案的支柱。
两个点之间的**安全关联(SA)**的建立由 IKE 管理,它在 ISAKMP 的框架下运行,这是一个设计用于认证和密钥交换的协议。这个过程分为几个阶段:
第 1 阶段: 在两个端点之间创建一个安全通道。通过使用预共享密钥(PSK)或证书来实现,可以使用主模式(涉及三对消息)或主动模式。
第 1.5 阶段: 虽然不是强制的,这个阶段称为扩展认证阶段,通过要求用户名和密码来验证尝试连接的用户的身份。
第 2 阶段: 该阶段致力于协商使用 ESP 和 AH 来保护数据的参数。它允许使用不同于第 1 阶段的算法,以确保完美前向保密性(PFS),增强安全性。
默认端口: 500/udp
使用 nmap 发现该服务
查找有效的转换
IPSec配置可能只准备接受一个或几个转换。一个转换是一组值的组合。每个转换包含一些属性,如DES或3DES作为加密算法,SHA或MD5作为完整性算法,预共享密钥作为认证类型,Diffie-Hellman 1或2作为密钥分发算法,以及28800秒作为生存期。
因此,你首先要做的是找到一个有效的转换,这样服务器才会与你通信。为此,你可以使用工具ike-scan。默认情况下,Ike-scan在主模式下工作,并向网关发送一个带有ISAKMP头和一个包含八个转换的提议的数据包。
根据响应,你可以获取有关端点的一些信息:
正如您在前面的回复中所看到的,有一个名为AUTH的字段,其值为PSK。这意味着 VPN 是使用预共享密钥配置的(这对于渗透测试人员来说非常有利)。 最后一行的值也非常重要:
0 returned handshake; 0 returned notify: 这意味着目标不是 IPsec 网关。
1 returned handshake; 0 returned notify: 这意味着目标已配置为 IPsec 并愿意执行 IKE 协商,并且您提出的一个或多个变换是可接受的(有效的变换将显示在输出中)。
0 returned handshake; 1 returned notify: VPN 网关在没有任何可接受的变换时会响应通知消息(尽管有些网关不会,这种情况下需要进一步分析并尝试修订提议)。
因此,在这种情况下,我们已经有一个有效的变换,但如果您处于第三种情况,则需要稍微暴力破解以找到有效的变换:
首先,您需要创建所有可能的变换:
然后使用ike-scan对每个进行暴力破解(这可能需要几分钟):
如果暴力破解没有成功,也许服务器甚至对有效的转换也没有握手而直接响应。那么,你可以尝试相同的暴力破解,但使用侵略模式:
希望有效的转换被回显。 您可以尝试使用iker.py进行相同的攻击。 您还可以尝试使用ikeforce来暴力破解转换:
在DH Group: 14 = 2048-bit MODP和15 = 3072-bit
2 = HMAC-SHA = SHA1 (在这种情况下)。--trans
格式为 $Enc,$Hash,$Auth,$DH
思科建议避免使用 DH 组 1 和 2,因为它们不够强大。专家认为,拥有大量资源的国家可以轻松破解使用这些弱组的数据加密。这是通过使用一种特殊方法来准备快速破解代码来实现的。尽管设置这种方法需要花费大量资金,但它使这些强大的国家能够实时阅读使用不够强大的组(如 1,024 位或更小)的加密数据。
服务器指纹识别
然后,您可以使用 ike-scan 尝试发现设备的供应商。该工具发送初始提议并停止重播。然后,它将分析从服务器接收的消息与匹配响应模式之间的时间差异,渗透测试人员可以成功识别 VPN 网关供应商。此外,一些 VPN 服务器将使用带有 IKE 的可选供应商 ID (VID) 负载。
如有需要,请指定有效的转换(使用 --trans)
如果 IKE 发现供应商,它将打印出来:
这也可以通过 nmap 脚本 ike-version 来实现。
查找正确的 ID(组名)
为了被允许捕获哈希值,您需要一个支持主动模式和正确 ID(组名)的有效转换。您可能不知道有效的组名,因此您将不得不使用暴力破解来尝试。 为此,我建议您使用 2 种方法:
使用 ike-scan 进行 ID 暴力破解
首先尝试使用一个虚假的 ID 发出请求,尝试收集哈希值("-P"):
如果没有返回哈希值,那么可能这种暴力破解方法会奏效。如果返回了某个哈希值,这意味着将为一个虚假的ID发送一个虚假的哈希值,因此这种方法不可靠用于暴力破解ID。例如,可能会返回一个虚假的哈希值(在现代版本中会发生):
但正如我所说,如果没有返回哈希值,那么你应该尝试使用ike-scan来暴力破解常见的组名。
这个脚本将尝试暴力破解可能的ID,并将返回进行握手验证的ID(这将是一个有效的组名)。
如果你发现了特定的转换,请将其添加到ike-scan命令中。如果你发现了几种转换,请随时添加一个新的循环来尝试它们(直到其中一个正常工作为止)。
你可以使用ikeforce的字典或seclists中的字典来暴力破解常见的组名:
使用Iker进行ID暴力破解
iker.py 也使用 ike-scan 来暴力破解可能的组名。它遵循自己的方法来 根据ike-scan的输出找到有效的ID。
使用ikeforce进行ID暴力破解
ikeforce.py 是一个工具,可以用来 暴力破解ID。该工具将 尝试利用不同的漏洞,这些漏洞可以用来 区分有效和无效的ID(可能会有误报和漏报,这就是为什么我更喜欢在可能的情况下使用ike-scan方法)。
默认情况下,ikeforce 会在开始时发送一些随机的ID以检查服务器的行为,并确定要使用的策略。
第一种方法 是通过 搜索 Cisco系统的 Dead Peer Detection DPD 信息来暴力破解组名(只有在组名正确时服务器才会回复此信息)。
可用的 第二种方法 是 检查每次尝试发送的响应数量,因为有时在使用正确的ID时会发送更多数据包。
第三种方法 是在响应中 搜索"INVALID-ID-INFORMATION" 来识别不正确的ID。
最后,如果服务器对检查没有任何回复,ikeforce 将尝试暴力破解服务器,并检查当发送正确的ID时服务器是否会回复一些数据包。 显然,暴力破解ID的目的是在获得有效ID后获取 PSK。然后,使用 ID 和 PSK,您将需要暴力破解XAUTH(如果启用)。
如果您发现了特定的转换,请将其添加到ikeforce命令中。如果您发现了多个转换,请随时添加一个新的循环来尝试它们(您应该尝试它们所有直到其中一个正常工作为止)。
嗅探ID
(来自书籍网络安全评估:了解您的网络):还可以通过嗅探VPN客户端和服务器之间的连接来获取有效的用户名,因为包含客户端ID的第一个主动模式数据包是明文发送的
捕获和破解哈希
最后,如果您找到了一个有效的转换和组名,并且允许主动模式,那么您可以非常容易地获取可破解的哈希:
哈希将保存在 hash.txt 中。
您可以使用 psk-crack、john(使用 ikescan2john.py)和 hashcat 来 破解 这个哈希:
XAuth
Aggressive mode IKE结合预共享密钥 (PSK)通常用于群组认证目的。这种方法通过XAuth (扩展认证)进行增强,引入了额外的用户认证层。这种认证通常利用Microsoft Active Directory、RADIUS或类似系统的服务。
转向IKEv2,观察到一个显著的变化,即使用EAP (可扩展认证协议)代替XAuth来对用户进行认证。这一变化突显了安全通信协议中认证实践的演变。
本地网络中间人攻击以捕获凭据
因此,您可以使用 fiked 捕获登录数据,并查看是否存在任何默认用户名 (您需要将 IKE 流量重定向到 fiked
以进行嗅探,这可以通过 ARP 欺骗来完成,更多信息)。Fiked 将充当 VPN 终端点,并捕获 XAuth 凭据:
使用 IPSec 尝试进行中间人攻击,并阻止所有流量访问端口 500,如果 IPSec 隧道无法建立,也许流量将以明文形式发送。
使用 ikeforce 对 XAUTH 用户名和密码进行暴力破解
要对 XAUTH 进行暴力破解(当你知道一个有效的组名 id 和 psk 时),你可以使用一个用户名或用户名列表以及一个密码列表:
这样,ikeforce 将尝试使用每个用户名:密码组合进行连接。
使用 IPSEC VPN 进行身份验证
在 Kali 中,VPNC 用于建立 IPsec 隧道。配置文件 必须位于目录 /etc/vpnc/
中。您可以使用命令 vpnc 来启动这些配置文件。
以下命令和配置说明了使用 VPNC 建立 VPN 连接的过程:
在这个设置中:
用 VPN 网关的实际 IP 地址替换
[VPN_GATEWAY_IP]
。用 VPN 连接的标识符替换
[VPN_CONNECTION_ID]
。用 VPN 的组密码替换
[VPN_GROUP_SECRET]
。用 VPN 认证凭据替换
[VPN_USERNAME]
和[VPN_PASSWORD]
。[PID]
表示vpnc
启动时将分配的进程 ID。
确保在配置 VPN 时使用实际安全值替换占位符。
参考资料
《网络安全评估第三版》
Shodan
port:500 IKE
Try Hard Security Group
最后更新于