LEAP 加密 WLAN 渗透测试
LEAP 加密 WLAN 渗透测试
轻量级可扩展身份验证协议 (LEAP) 是一种基于 Cisco 的传统身份验证协议,它使用外部 RADIUS 服务器对用户进行身份验证。它使用散列函数 – MS-CHAP 和 MS-CHAPv2 对无线客户端和身份验证服务器执行伪相互身份验证。
LEAP 的漏洞在于 –
-
用户的用户名以明文形式发送——因此黑客只需要获取用户的密码,例如使用社会工程。
-
用户的密码被 MS-CHAPv2 破解 – 算法容易受到离线字典攻击。
与之前的情况一样,让我们从 airodump-ng 开始,找出环境中广播的 WLAN。
如您所见,WLAN“LAB-test”显示为 WPA2 网络。这种类型的身份验证模式更改为“MGT”——这意味着没有静态预共享密钥 (PSK),但身份验证服务移动到外部身份验证服务器(例如 RADIUS)。那个时候,你不能说特定的 WLAN 网络是基于 LEAP、PEAP、EAP-TLS、EAP-TTLS 还是其他类型的 EAP 技术。
下一步是启用Wireshark,以便查看数据包详细信息——它为渗透测试人员提供了许多有价值的信息。
如您所见,身份验证服务器首先尝试协商 EAP-TTLS,但客户端拒绝了。在接下来的 2 条消息中,他们已同意使用 LEAP。
在前 2 条消息中,身份验证服务器要求提供用户名(身份),客户端回复——如您所见,客户端的回复以明文形式传输。
此时,我们已经知道无线客户端的有效用户名是“LAB_user”。为了找出密码,我们将看看请求/响应交换。
在 802.1x Authentication 标头的底部,您可以观察到身份验证服务器使用挑战文本“197ad3e4c81227a4”挑战无线客户端。然后在后台,无线客户端使用 MS-CHAPv2 算法结合 LAB_user 的密码并得到一个哈希值 – “ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89”,将其发送回身份验证服务器。正如您在前面的章节中所知道的,对我们来说幸运的是,MS-CHAPv2 容易受到离线字典攻击。为此,我们将使用一个非常常用的工具来破解 LEAP 密码,称为asleap。
如您所见,基于数据包捕获,asleap能够导出 802.1X 数据包交换的所有信息并破解 MS-CHAPv2 哈希。用户的密码:“LAB_user”是“f8be4a2c”。
再一次,你很有可能永远不会在生产环境中看到 LEAP 身份验证——至少现在你有一个很好的证据。