ID:Computer-network
攻擊者可以利用遠程訪問通信的普遍性實現(xiàn)以下目標:
由于大多數(shù)用戶認為他們使用的通信工具是“安全”的(盡管銀行使用SSL協(xié)議來確保網(wǎng)上銀行的安全性)��,這些攻擊可以在已經(jīng)被破壞的通信和受害者信任的其他在線通信上產(chǎn)生重大影響����。
一、利用操作系統(tǒng)通信協(xié)議
一些協(xié)議可以不受阻礙地傳輸訪問憑證(如Telnet和FTP)���。使用一個如Wireshark的包嗅探器����,攻擊者即可截獲并重用該憑證�。
然而,大多數(shù)遠程訪問協(xié)議���,尤其是那些嵌入操作系統(tǒng)的��,現(xiàn)在均受訪問控制和加密的保護��。雖然這在一定程度上增加了安全性��,但它們?nèi)匀豢赡苁艿接捎谂渲缅e誤���,或弱加密密鑰的使用,所產(chǎn)生的攻擊���。我們將檢查可以被用來破解所謂安全通信信道的其他風(fēng)險�。
(一)破解遠程桌面協(xié)議
遠程桌面協(xié)議(Remote Desktop Protocol����,RDP)是一個微軟通信專有協(xié)議,它允許客戶機與另一臺使用圖形界面的計算機連接��。雖然協(xié)議是加密的��,但如果攻擊者可以猜得用戶名和密碼���,就可以訪問該服務(wù)器���。
應(yīng)該注意的是���,最常見的RDP的入侵是在社會工程學(xué)中使用的。遠程服務(wù)技術(shù)員聯(lián)系用戶�����,并說服用戶他們需要遠程訪問用戶的系統(tǒng)�����,并在系統(tǒng)上解決某些問題?����,F(xiàn)在��,攻擊目標的RDP協(xié)議的惡意軟件也變得越來越普遍了��。
從測試者(或攻擊者)的角度來看����,破解目標RDP服務(wù)的第一步是定位該RDP服務(wù)器,并確定它所使用的密碼所具有的強度特征��。這個偵察通常使用nmap等工具進行引導(dǎo),并被配置成標準的RDP掃描端口���,端口號為3389����。
現(xiàn)在的nmap工具����,包含提供RDP附加詳細信息的專用腳本����,其中包括加密的配置。如果時間允許�,并且隱身行動不是一個重要問題,這些都應(yīng)該在初始掃描階段被使用����。命令行調(diào)用枚舉支持加密協(xié)議的腳本如下:
前面命令的執(zhí)行結(jié)果如下圖所示。
運行nmap查看RDP信息
一些RDP漏洞已經(jīng)被確定(特別是MS12-020)�����,而這些漏洞可以被精心設(shè)計的數(shù)據(jù)包遠程使用��。
使用合適的nmap腳本,通過調(diào)用如下命令行�����,可以確定當(dāng)前版本的RDP是否含有漏洞:
上述命令的執(zhí)行結(jié)果如下圖所示���。
運行nmap確定RDP是否含有漏洞
一旦使用nmap確定了系統(tǒng)漏洞�����,就可以被Metasploit框架下的auxiliary/dos/windows/rdp/ms12_020_maxchannelids模塊利用����,進而導(dǎo)致拒絕服務(wù)攻擊����。
最常見的破解RDP的方法是根據(jù)一本最常見的用戶名和密碼的字典(也可以是根據(jù)目標特點,使用工具如CeWL和crunch���,構(gòu)造針對目標的特定字典��,暴力破解使用這些字典����,比嘗試使用通用字典更快、更為隱秘�����,因為它們產(chǎn)生的網(wǎng)絡(luò)流量更少)使用暴力攻擊�。
Kali提供了一些暴力破解工具,包括hydra��、medusa�、ncrack和patator。通過測試����,我們發(fā)現(xiàn)�����,就速度和效率而言�����,ncrack是最可靠的�����。
從幾個來源列出的常見用戶名和密碼都是可用的。大多數(shù)破解工具���,特別是hydra����、ncrack和john(John the Ripper)�����,包括在應(yīng)用程序主目錄的列表中��。測試人員也可以從網(wǎng)上下載各種類型的列表����。從破解的用戶賬戶產(chǎn)生的列表是最有用的,因為它們反映了現(xiàn)實世界使用的身份認證信息���。不管你使用什么樣的列表����,你可能希望通過添加現(xiàn)任和前任員工的名字(用戶名)���,或使用如CeWL的工具創(chuàng)建的單詞列表把測試人性化�����,CeWL可以爬入目標網(wǎng)站并創(chuàng)建固定長度的單詞���。
ncrack是一種支持FTP����、HTTP(S)���、POP3����、RDP�、SMB��、SSH�����、Telnet和VNC協(xié)議的高速驗證破解工具�。它從終端窗口被調(diào)用,使用以下命令:
上述命令的執(zhí)行結(jié)果如下圖所示�����。
運行ncrack-vv-U命令
ncrack工具可以在大約1700秒內(nèi)發(fā)現(xiàn)所有用戶的訪問憑證。然而�����,所需的時間量將取決于所使用的字典的整體大小����,以及在一個成功訪問之前必須進行的猜測次數(shù)。
(二)破解安全外殼
安全外殼(SSH)協(xié)議�,是一種用于在服務(wù)器和客戶機之間的開放網(wǎng)絡(luò)上,建立加密信道的網(wǎng)絡(luò)協(xié)議�。通常,一個公私密鑰對允許用戶在不需要口令的情況下登錄到一個系統(tǒng)�����。公鑰保存在所有需要安全連接的系統(tǒng)上��,然而���,用戶保存私鑰�。身份認證是基于私鑰的��;SSH根據(jù)相應(yīng)的公鑰驗證私鑰。在目標系統(tǒng)上����,公鑰是由遠程訪問系統(tǒng)所允許的授權(quán)密鑰來驗證的。當(dāng)公鑰密碼強度不夠�,且可以猜到時,這種所謂的安全通信信道將是不安全的�����。
像RDP一樣���,SSH的一個弱點是容易受到用戶猜測訪問憑證的暴力攻擊���。對于這種特定的情況,我們將使用hydra工具�。hydra可能是最古老的暴力工具,且被認為是功能最豐富的工具���。它還支持攻擊大量的目標協(xié)議。
hydra工具可以通過導(dǎo)航——Kali Linux|Password Attacks|Online Attacks來發(fā)現(xiàn)����,它也可以直接從命令行被調(diào)用���。hydra有兩個版本:命令行版本(hydra)和GUI版本(hydra-gtk)。對于這個示例�����,我們從命令行調(diào)用hydra����,使用以下命令:
命令的參數(shù)描述如下:
下圖展示了最初暴力攻擊的詳細輸出。
運行hydra攻擊的詳細輸出
當(dāng)使用字典成功登錄時�����,hydra記錄端口���、協(xié)議�、主機和登錄憑證���。然后繼續(xù)使用字典確定其他可能的賬戶���。在下圖的最上面一行,hydra已經(jīng)用登錄名DigitalDefence和登錄密碼darkstar正確識別了一個SSH賬戶����;下圖也顯示了其他的嘗試,hydra試圖確定其他的附加賬戶���。
hydra使用字典攻擊
如果你知道密碼配置�����,你也可以讓hydra用以下命令在忙碌時自動創(chuàng)建密碼列表:
對前面命令中所使用參數(shù)�,描述如下:
-x指導(dǎo)hydra自動創(chuàng)建在暴力攻擊中使用的密碼��。密碼將根據(jù)-x后的參數(shù)創(chuàng)建����。
6:8表明最小密碼長度為6個字符����,最大密碼長度為8個字符�����。
aA1將使用字母和數(shù)字的組合自動創(chuàng)建密碼�����。它使用所有的小寫字母(比如a)��、所有大寫字母(比如A)和數(shù)字0到9(比如1)��。
你也可以添加特殊字符生成列表����,但是,這時你需要在-x選項附近添加單引號��,如下命令所示:
二��、利用第三方遠程訪問應(yīng)用程序
用于提供遠程訪問的旁路系統(tǒng)協(xié)議應(yīng)用程序���,曾經(jīng)廣受歡迎�����。雖然它們將被GoToMyPC或LogMeIn等在線服務(wù)所取代����,但它們?nèi)匀幌喈?dāng)普遍�。這樣的程序例子包括pcAnywhere和VNC。
應(yīng)該指出的是���,由于系統(tǒng)管理員的合法操作�����,這些工具實例可能存在于網(wǎng)絡(luò)上����。然而�,它們也可能存在于已被入侵的網(wǎng)絡(luò),因為攻擊者想要一種遠程訪問網(wǎng)絡(luò)的工具����。
在接下來的例子中,我們將使用Metasploit框架內(nèi)置的功能破解VNC�����。
1、使用nmap定位目標遠程訪問軟件�����。如下圖所示��,VNC通常是在TCP的端口號5900處被發(fā)現(xiàn)����。
使用nmap定位VNC
2、在終端窗口中使用msfconsole命令激活Metasploit框架�����。在msf的提示下�����,通過配置來入侵VNC�����,如下圖所示���。
使用配置入侵VNC
3�����、如下圖所示��,啟動run命令�,并觀察成功后的效果��。
執(zhí)行run命令
4�����、最后��,一旦Metasploit通過使用vncviewer登錄到VNC客戶端���,確定了憑證并對其進行了驗證���。即可在終端窗口命令提示符下輸入以下命令:
這將連接遠程主機且提示你輸入正確的憑證。當(dāng)身份驗證成功后�����,將打開一個新的窗口,允許你遠程訪問目標系統(tǒng)�。如下圖所示,通過發(fā)行whoami查詢和請求系統(tǒng)的ID或IP地址�����,確定你已成功登錄該目標系統(tǒng)��。
成功認證
三�����、攻擊安全套接字層
安全套接字層(Secure Sockets Layer���,SSL)和它的繼承者�,安全傳輸層(Transport Layer Security�,TLS)是用于在互聯(lián)網(wǎng)上提供安全通信的加密協(xié)議。這些協(xié)議被廣泛應(yīng)用于互聯(lián)網(wǎng)通信���、電子郵件�、網(wǎng)頁瀏覽和IP電話等應(yīng)用的安全程序上����。
這些協(xié)議在互聯(lián)網(wǎng)上無處不在���,但是,它們起源于90年代中期�����,且隨著年齡的增長受到的攻擊越來越多�。SSL 2.0版本(1.0版本從未公開發(fā)布)包含大量可以被利用的缺陷,如較弱的密鑰管理和中間人攻擊的脆弱點�。雖然大多數(shù)用戶已經(jīng)使用3.0版本的TLS協(xié)議,但配置錯誤的系統(tǒng)可能仍然允許使用早期不安全的版本���。
(一)為SSLv2掃描配置Kali
在偵察階段開始之前,確認Kali已經(jīng)配置了SSL版本2的掃描協(xié)議��。
從終端窗口中�����,輸入以下命令:
如果它返回一個unknown option-ssl2(未知選項–ss12)錯誤(如下圖所示)��,那么就需要增加配置���。
返回unknown option-ssl2錯誤
為了應(yīng)用補丁�,你必須使用下面的步驟,重新修補OpenSSL應(yīng)用程序(確保使用反映了下載目錄的路徑)���。
1���、使用如下命令,安裝quilt�,一個用于為應(yīng)用程序的源代碼管理多個補丁的程序:
2、下載openssl源代碼����,驗證應(yīng)用補丁,更新配置文件���,然后使用下列命令重建應(yīng)用程序:
3�����、編輯/openssl-1.0.1e/debian/patches/series文件��,然后從文件中刪除如下命令行:
4�、編輯/openssl-1.0.1e/debian/rules文件和刪除no-ssl2的內(nèi)容����。然后使用以下命令在openssl上重新應(yīng)用補?����。?/strong>
5�、當(dāng)這個過程完成后�����,重建并重新安裝openssl包�。這一步可以通過執(zhí)行以下命令實現(xiàn):
6、通過SSLv2補發(fā)連接命令�,確認補丁已成功應(yīng)用,如下圖所示����。
確認補丁成功應(yīng)用
Kali腳本依賴openssl����,尤其是sslscan程序,需要重新編譯��。重新編譯時����,首先要下載源代碼����,然后重建它�����。當(dāng)這個過程完成后����,使用如下命令重新安裝ssl掃描工具:
Kali關(guān)注的SSLv2的問題可能在未來發(fā)行的版本中被修復(fù),因此�����,應(yīng)在測試SSL連接之前驗證這一點�。
(三)SSL連接的偵察
評估SSL連通性,尤其是審查下列事項時���,殺鏈的偵察階段仍然十分重要:
SSL證書可以提供用于促進社會工程的信息�。
更加頻繁的是��,一個測試者或攻擊者想要確定證書是否有效��。無效證書可能源于驗證簽名時的一個錯誤��,證書鏈毀壞���,在證書中指定的域沒有匹配該系統(tǒng)��,或者證書已經(jīng)過期����、被撤銷����,或者是已知的被破解了。
如果一個用戶曾接收到無效的證書����,他將極有可能接收到新的無效證書,從而使攻擊者的工作變得容易很多���。
用于保護SSL連接的加密類型特別重要�����。加密密碼分為以下幾類:
空密碼(null ciphers):這些密碼用來驗證傳輸?shù)恼鎸嵭院?或完整性����。因為沒有應(yīng)用加密�,所以不提供任何安全性。
弱密碼(weak ciphers):這個術(shù)語用來描述所有秘鑰長度為128位或少于128位的密碼��。至于密鑰交換協(xié)議中使用的Diffie–Hellman算法也可以被認為是弱密碼���,因為它們不能抵抗中間人攻擊���。由于碰撞攻擊,MD5散列函數(shù)的使用也被認為是不安全的���。最后�����,最近針對RC4的攻擊也是因為這個問題�����。
強密碼(strong ciphers):這些都是密鑰超過128位的密碼��。目前普遍接受的最安全的是256位的AES加密��。如果可能的話��,AES應(yīng)該在伽羅瓦/計數(shù)器(Galois/Counter)模式中使用�����,它是一個同時支持認證和加密的現(xiàn)代分組密碼�。
SSL和TLS依靠密碼組件(認證、加密和消息認證碼算法的特定組合)為每個連接建立安全設(shè)置�。這有30多個這樣的密碼組件,頻繁地為每個安全需求選擇最好選項的算法是復(fù)雜的�,這導(dǎo)致用戶違約選擇不太安全的選項。因此���,每個SSL和TLC連接必須被全面測試���。
使用nmap或SSL特定應(yīng)用程序的NSE模塊��,對SSL連接進行偵察,對nmap NSE模塊的描述如下表所示����。
nmap NSE模塊的描述
可以使用以下命令,從命令行調(diào)用一個腳本:
在下面的示例中���,ssl-cert腳本是由最大冗長的-vv選項調(diào)用的��。從這個腳本中得到的數(shù)據(jù)如下圖所示�。
調(diào)用ssl-cert腳本獲得的信息
在偵察期間�,測試人員可以選擇使用下面的命令,啟動所有的SSL特有模塊:
針對SSL和TLS的Kali偵察和攻擊工具�,可以從命令行或從菜單Kali Linux|Information Gathering|SSL Analysis引導(dǎo)調(diào)用。這些工具的總結(jié)如下表所示����。
針對SSL和TLS的Kali偵察和攻擊工具介紹表
最常用的程序是ssl掃描,它查詢SSL服務(wù)以確定證書的詳細信息和其支持的密碼����,并以文本和XML格式輸出。
當(dāng)使用--no-failed選項測試一個特定的連接時���,sslscan只顯示其接受的密碼組件�����,如下圖所示����。
調(diào)用--no-failed選項,顯示密碼組件
sslyze python工具分析服務(wù)器的SSL配置�����、驗證證書的有效性�����、測試弱密碼組件��、確定可以支持更多攻擊的配置信息�����。如下圖所示��,示例輸出中已經(jīng)確認一個證書不匹配一些攻擊類型。
掃描結(jié)果
另一個SSl偵察工具是tlssled���,如下圖所示��。它運行速度快�����,操作簡單,且輸出對用戶友好����。
運行tlssled
不管你用什么方法進行SSL偵察,確保你已通過運行至少兩種不同的工具交叉驗證了你的結(jié)果�。此外,所有的SSL配置設(shè)備并不是同時在線����。因此,在大型網(wǎng)絡(luò)上�,確保你在測試過程中,多次掃描了SSL漏洞�����。
OWASP的O-Saft(www.owasp.org/index.php/O-Saft),它提供了SSL配置��、密碼���、證書數(shù)據(jù)的全面概述�����。
(三)使用sslstrip進行中間人攻擊
盡管SSL提供安全保護���,但仍有一些針對該協(xié)議的有效攻擊。在2009年�����,Moxie Marlinspike演示了sslstrip��,一個用于網(wǎng)絡(luò)上透明地劫持HTTP流量����,并且重定向HTTP或HTTPS鏈接的流量工具。它消除了SSL的保護����,并向受害者的瀏覽器返回安全鎖圖標,致使流量攔截不容易被偵察到。
簡而言之��,sslstrip對SSL發(fā)起中間人攻擊�����,致使之前的安全數(shù)據(jù)被截獲���。
使用sslstrip�,首先必須使用以下命令�,配置攔截系統(tǒng)為轉(zhuǎn)發(fā)模式:
接下來�����,設(shè)置iptables防火墻���,直接使用以下命令重定向sslstrip的HTTP流量:
在這個例子中��,我們設(shè)置監(jiān)聽端口號為5353��。
配置完成后���,使用下面的命令運行sslstrip:
上述命令的執(zhí)行結(jié)果,如下圖所示。
運行sslstrip–l 5353
最小化的活動終端窗口正在執(zhí)行sslstrip���,并打開一個新的終端窗口���。使用ettercap欺騙ARP,并使用以下命令重定向����,從網(wǎng)絡(luò)或目標系統(tǒng)攔截系統(tǒng)的流量:
在這里,ettercap–T分支只選擇文本界面����,-q強制控制臺進入靜態(tài)模式,-m選項可以激活中間人攻擊來截獲和重定向數(shù)據(jù)包�����。arp:remote選項實現(xiàn)ARP中毒攻擊��,并把攻擊者作為有能力查看和修改數(shù)據(jù)包傳輸?shù)闹虚g人���。remote分支選項詢問你是否想通過網(wǎng)關(guān)查看遠程IP地址和通信��。
前面命令的執(zhí)行結(jié)果����,如下圖所示。
運行ettercap–TqM
如果目標系統(tǒng)想要訪問SSl安全保護的內(nèi)容�,他們的查詢可以直接通過網(wǎng)關(guān)到達攔截系統(tǒng)。
從用戶的角度來看����,他們將直接到網(wǎng)站,并且給出一個安全警告There is a problem with the site’s security certificate(該網(wǎng)站的安全證書有問題)���,促使他們決定繼續(xù)訪問���。如果他們選擇Yes,他們將被引導(dǎo)至他們選擇的頁面�����。在瀏覽器右下角的鎖圖標表明SSL正在使用�,這也表明他們的通信是安全的�����。
在后臺���,sslstrip工具刪除了SSL�,丟棄可以在ettercap日志中查看的原始內(nèi)容,如下圖所示��。
運行sslstrip工具
這種攻擊是所有相同的第2層網(wǎng)段中唯一有效的攻擊�。然而,它在有線和無線網(wǎng)絡(luò)上都是成功的�����。雖然ARP重定向可以在一個網(wǎng)段中應(yīng)用�����,但是這樣的攻擊會影響網(wǎng)絡(luò)帶寬����,并可能被檢測到。因此����,直接攻擊單一設(shè)備是最有效的。
禁用PREROUTING規(guī)則��,用-D取代-A�����。清除防火墻規(guī)則,使用iptables–t nat–F(刷新命令)和iptables–t nat–L(確認表已被清除)��。
(四)針對SSL的拒絕服務(wù)攻擊曝光
當(dāng)一個SSL連接被建立時��,服務(wù)器必須完成一系列的密集計算���,去發(fā)起信號交換并啟動加密���。這涉及部分客戶端的少量計算工作和服務(wù)器的大量計算工作。
如果一個客戶端發(fā)起SSL連接�����,但拒絕服務(wù)器的響應(yīng)����,SSL連接將不會被建立�����。但是���,如果SSL服務(wù)器被配置成自動協(xié)商連接�,計算的工作量將導(dǎo)致拒絕服務(wù)攻擊。
Kali Linux有幾個工具����,允許你自己決定是否允許自動重新協(xié)商,包括sslyze和tssled�。
如果自動重新協(xié)商是允許的,那么輸入以下命令將允許測試人員對拒絕服務(wù)攻擊的能力進行評估:
上述命令的執(zhí)行結(jié)果����,如下圖所示。
運行thc-ssl-dos命令
四����、攻擊IPSec虛擬專用網(wǎng)絡(luò)
虛擬專用網(wǎng)絡(luò)(virtual private network,VPN)使用因特網(wǎng)來提供偏遠地區(qū)����,或同一個網(wǎng)絡(luò)中的不同用戶之間的安全(加密)通信。有兩種類型的虛擬專用網(wǎng)絡(luò):IPSec和SSL��。
IPSec是虛擬專用網(wǎng)絡(luò)中最常見的用于網(wǎng)絡(luò)和連接的主機之間建立安全連接的協(xié)議��。
在IPSec中����,有以下幾個執(zhí)行特定功能的子協(xié)議���,主要包括以下內(nèi)容:
認證頭(Authentication Header,AH):這對IP數(shù)據(jù)包提供原始證明���,保護它們以抵抗重放攻擊�。
封裝安全有效載荷(Encapsulation Security Protocol�����,ESP):該協(xié)議提供了原始傳輸數(shù)據(jù)的真實性�����、完整性和機密性���。
安全關(guān)聯(lián)(Security Association��,SA):這是一套用于加密和認證傳輸數(shù)據(jù)的算法�。因為SA與一個方向上傳輸數(shù)據(jù)相關(guān)聯(lián)�����,雙向通信需要一對安全關(guān)聯(lián)提供安全性�。安全關(guān)聯(lián)是使用網(wǎng)絡(luò)安全協(xié)會和密鑰管理協(xié)議(Internet Security Association and Key Management Protocol,ISAKMP)建立的�,它可以通過幾種方式來實現(xiàn)。當(dāng)測試VPN的安全性時����,其中一個最脆弱的配置依賴預(yù)先共享密鑰,即因特網(wǎng)密鑰交換(Internet Key Exchange��,IKE)����。
評估VPN的安全性,測試人員需要遵循這些基本步驟:
1���、掃描存在的VPN網(wǎng)關(guān)�。
2�����、使用VPN網(wǎng)關(guān)的指紋機制來確定供應(yīng)商和配置細節(jié)��。
3.根據(jù)VPN供應(yīng)商或相關(guān)產(chǎn)品尋找相關(guān)漏洞。
4��、截獲預(yù)共享密鑰����。
5、執(zhí)行離線PSK攻擊��。
6.檢查用戶的默認賬戶����。
(一)掃描VPN網(wǎng)關(guān)
掃描VPN網(wǎng)關(guān),可以使用nmap或ike-scan�。使用nmap,需要執(zhí)行如下命令:
-sU指示nmap使用UDP數(shù)據(jù)包掃描可能的目標主機范圍(而非TCP)��,-Pn用于確保nmap不會發(fā)送一個ping掃描(它可以警告目標注意本次掃描并且識別測試人員)�,而-p 500標識了特定的掃描端口。
由于nmap處理IKE數(shù)據(jù)包的方式����,它不一定能找到所有的VPN網(wǎng)關(guān)。最有效的工具是發(fā)送正確格式的IKE數(shù)據(jù)包到目標系統(tǒng)����,并顯示返回的消息內(nèi)容�����。
ike-scan是用來定位VPN網(wǎng)關(guān)的最好工具(通過導(dǎo)航Kali Linux|Information Gathering|VPN Analysis可以找到)。ike-scan的命令行工具�����,使用IKE協(xié)議來發(fā)現(xiàn)和識別私有網(wǎng)絡(luò)�。它還支持IKE積極模式中的預(yù)共享密鑰。使用如下命令����,ike-scan可以定位目標:
前面命令的執(zhí)行結(jié)果如下圖所示。
運行ike-scan-M命令
-M交換機返回一行中的每個負載�,并簡化輸出。
ike-scan工具對目標設(shè)備進行各種變換的測試����。一個變換包含以下屬性:加密算法(DES和3 DES)、散列算法(MD5和SHA1)�����、身份驗證方法(預(yù)共享密鑰)�、Diffie-Hellman組(選項一是768位,選項二是1024位)和生存期(28800秒)。它將確定哪些變換引發(fā)了成功的響應(yīng)����。
在ike-scan完成對每個設(shè)備的確定之后,程序?qū)⒎祷匾韵聨讉€內(nèi)容之一:
0 returned handshake(返回握手)����;0 returned notify(返回通知):這表明目標不是一個IPSec網(wǎng)關(guān)。
0 returned handshake�;1 returned notify:這表明盡管VPN網(wǎng)關(guān)是存在的,但所有由ike-scan提供的變換都是不可接受的��。
1 returned handshake����;0 returned notify:正如圖10.20所示,這表明目標配置了IPSec��,并將對一個或多個提供給它的變換執(zhí)行IKE協(xié)商���。
(二)指紋識別VPN網(wǎng)關(guān)
如果你能與VPN網(wǎng)關(guān)建立握手連接�,你可以引導(dǎo)識別的設(shè)備產(chǎn)生指紋�,返回以下信息:
這些信息用于識別供應(yīng)商特定的攻擊,或者用于調(diào)整通用的攻擊���。
如果VPN由一個防火墻控制�����,那么指紋識別機制也可以識別出該防火墻���。
因為IKE并不能保證數(shù)據(jù)包傳輸?shù)目煽啃裕鄶?shù)VPN網(wǎng)關(guān)廠商使用專有協(xié)議來處理似乎已經(jīng)丟失了的流量�。ike-scan向VPN網(wǎng)關(guān)發(fā)送IKE探測包,但ike-scan對它收到的響應(yīng)信息并不做任何回復(fù)����。服務(wù)器響應(yīng)數(shù)據(jù)包丟失,并實施其補償策略重新發(fā)送數(shù)據(jù)包�����。通過分析數(shù)據(jù)包和重新發(fā)送數(shù)據(jù)包的數(shù)量之間的時間差異�,ike-scan掃描工具可以識別供應(yīng)商。
如圖下所示的例子��,-M選項單獨顯示行有效載荷�,它使輸出更容易閱讀。ike-scan掃描工具的-showbackoff選項(如下圖所示)����,記錄所有發(fā)送和接收數(shù)據(jù)包的響應(yīng)時間��,然后記錄顯示延遲了60秒的結(jié)果�。
在下圖中���,供應(yīng)商ID(Vendor ID�����,VID)是針對特定供應(yīng)商和用于識別專有通信或具體通信細節(jié)的MD5散列文本字符串��。
運行ike-scan-M-showbackoff
ike-scan掃描工具也可以用來確定網(wǎng)關(guān)是否支持積極模式���,如果支持,它很難和服務(wù)器建立握手連接����,因為它不會做出響應(yīng),直到一個有效的ID作為有效載荷的一部分被提供�����。
(三)截獲預(yù)共享密鑰
ike-scan工具可以用來推動VPN網(wǎng)關(guān)進入積極模式���。這點很重要�,因為IPSec的積極模式不保護預(yù)共享密鑰。身份驗證憑證作為明文被發(fā)送�����,因此它可以被離線工具截獲和破解��。
在下面的例子中�����,使用以下命令發(fā)布了一個思科VPN集中器:
上述命令的執(zhí)行結(jié)果�����,如下圖所示����。
運行ike-scan--pskcrack
如果你想把結(jié)果封裝為文本文件��,用于附加分析���、離線密碼破解����,可使用以下命令:
(四)執(zhí)行離線PSK破解
在使用離線工具破解捕獲的預(yù)共享密鑰的散列值之前,編輯只包含散列值(它應(yīng)該包含9個冒號隔開的值)的輸出文件�。psk-crack是最有效的破解密碼的工具,他支持字典攻擊�����、蠻力攻擊和混合方式的破解�����。
像所有離線破解練習(xí)一樣�����,成就是對工作和努力的測量(時間�����、計算工作量和投資能源的電力系統(tǒng))����。一個強的預(yù)共享密鑰,比如在下圖中所顯示的�����,去破解它將會花費很長時間。
運行psk-crack
(五)確定默認用戶賬戶
像大多數(shù)的硬件設(shè)備一樣�����,VPN網(wǎng)關(guān)通常在安裝的時候��,包含默認用戶賬戶�。這些賬戶管理員無權(quán)更改。使用指紋識別過程中收集的信息���,測試人員可以進行網(wǎng)絡(luò)搜索來確定標準的用戶賬戶�。
如果測試人員能夠訪問用戶的計算機��,用戶名憑據(jù)通常以明文形式存儲在系統(tǒng)的注冊表中�����。此外���,如果一個測試人員能夠訪問系統(tǒng)的內(nèi)存,他可以直接從客戶端系統(tǒng)的內(nèi)存轉(zhuǎn)儲中獲取密碼���。
Vuln VPN(www.rebootuser.com)是一個虛擬的操作系統(tǒng)���,并且有漏洞的VPN服務(wù)器�。它可以讓你應(yīng)用本章中描述的工具�,破解應(yīng)用程序并在不損害系統(tǒng)的前提下獲得root訪問權(quán)限。
五�����、結(jié)語
本文我們調(diào)查研究了如何利用常見的遠程訪問應(yīng)用程序�����,包括那些使用密碼格外附加安全的應(yīng)用�����。我們利用操作系統(tǒng)通信協(xié)議(RDP和SSH)及VNC應(yīng)用程序����。同時也學(xué)會了如何對安全套接字層連接、虛擬專用網(wǎng)絡(luò)�,以及降低加密有效性的攻擊類型進行偵察。
