49 - Pentesting TACACS+
Try Hard Security Group
Informazioni di base
Il protocollo Terminal Access Controller Access Control System (TACACS) viene utilizzato per convalidare centralmente gli utenti che cercano di accedere a router o Server di Accesso alla Rete (NAS). La sua versione aggiornata, TACACS+, separa i servizi in autenticazione, autorizzazione e contabilità (AAA).
Porta predefinita: 49
Intercepimento della chiave di autenticazione
Se la comunicazione tra il client e il server TACACS viene intercettata da un attaccante, la chiave di autenticazione crittografata può essere intercettata. L'attaccante può quindi tentare un attacco di forza bruta locale contro la chiave senza essere rilevato nei log. Se avviene con successo il cracking della chiave, l'attaccante ottiene accesso all'attrezzatura di rete e può decrittare il traffico utilizzando strumenti come Wireshark.
Esecuzione di un attacco MitM
Un attacco di ARP spoofing può essere utilizzato per eseguire un attacco Man-in-the-Middle (MitM).
Cracking della chiave
Loki può essere utilizzato per effettuare il cracking della chiave:
Se la chiave viene forzata con successo (di solito in formato crittografato MD5), possiamo accedere all'attrezzatura e decrittare il traffico criptato TACACS.
Decrittare il Traffico
Una volta che la chiave viene craccata con successo, il passo successivo è decrittare il traffico criptato TACACS. Wireshark può gestire il traffico TACACS criptato se la chiave è fornita. Analizzando il traffico decrittato, è possibile ottenere informazioni come il banner utilizzato e il nome utente dell'utente admin.
Ottenendo l'accesso al pannello di controllo dell'attrezzatura di rete utilizzando le credenziali ottenute, l'attaccante può esercitare il controllo sulla rete. È importante notare che queste azioni sono strettamente a scopo educativo e non dovrebbero essere utilizzate senza autorizzazione adeguata.
Riferimenti
Try Hard Security Group
Last updated
