渗透测试 LEAP 加密 WLAN
轻量级可扩展身份验证协议 (LEAP) 是一种基于 Cisco 的传统身份验证协议,使用外部 RADIUS 服务器对用户进行身份验证。它使用哈希函数(MS-CHAP 和 MS-CHAPv2)对无线客户端和身份验证服务器执行伪相互身份验证。
LEAP 的漏洞在于 −
用户的用户名以明文形式发送 - 因此黑客只需使用社交工程等手段获取用户的密码即可。
用户的密码被 MS-CHAPv2 破解 - 算法容易受到离线字典攻击。
与前面的案例一样,让我们从 airodump-ng 开始,找出环境中广播的 WLAN。
如您所见,WLAN "LAB-test" 可见为 WPA2 网络。此类型的身份验证模式更改为"MGT" - 这意味着没有静态预共享密钥 (PSK),但身份验证服务移至外部身份验证服务器(例如 RADIUS)。此时,您无法判断特定 WLAN 网络是基于 LEAP、PEAP、EAP-TLS、EAP-TTLS 还是其他类型的 EAP 技术。
下一步是启用 Wireshark,以便查看数据包详细信息 - 它为渗透测试人员提供了大量有价值的信息。
如您所见,身份验证服务器首先尝试协商 EAP-TTLS,但客户端拒绝。在接下来的 2 条消息中,他们同意使用 LEAP。
在前 2 条消息中,身份验证服务器要求输入用户名 (Identity),然后客户端回复 - 如您所见,客户端的回复以明文形式传输。
此时,我们已经知道无线客户端的有效用户名是"LAB_user"。为了找出密码,我们将查看请求/响应交换。
在 802.1x 身份验证标头的底部,您可以观察到身份验证服务器使用质询文本"197ad3e4c81227a4"向无线客户端发出质询。然后在后台,无线客户端使用 MS-CHAPv2 算法结合 LAB_user 的密码,得到一个值为 − "ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89"的哈希值,并将其发送回身份验证服务器。正如您从前面的章节中知道的那样,幸运的是,MS-CHAPv2 容易受到离线字典攻击。为此,我们将使用一种非常常见的工具来破解 LEAP 密码,称为 asleap。
如您所见,基于数据包捕获,asleap 能够得出 802.1X 数据包交换的所有信息并破解 MS-CHAPv2 哈希值。用户"LAB_user"的密码是"f8be4a2c"。
再次强调,您很可能永远不会在生产环境中看到 LEAP 身份验证 - 至少现在您有一个很好的证据来证明原因。