Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Attacks on tacacs - Алексей Тюрин

1,210 views

Published on

Алексей Тюрин - Атаки на Tacacs+
http://defcon-russia.ru

Published in: Science
  • Be the first to comment

Attacks on tacacs - Алексей Тюрин

  1. 1. Атаки на Tacacs+ Digital Security Alexey GreenDog Tyurin @antyurin
  2. 2. Tacacs+ от Cisco • Бинарный протокол (49/TCP) • Централизованное управление доступом • AAA (англ. authentication, authorization, accounting) • К различным девайсам от Cisco (и не только) • Есть «железки», есть открытые реализации сервера (tacplus) Defcon Russia (DCG #7812) 2
  3. 3. Общий вид: Tacacs+ Defcon Russia (DCG #7812) 3 Tacacs+ server User
  4. 4. «Атака» №1. Причины • Разные виды аутентификации: aaa authentication login default group tacacs+ local • local – локальные учётки устройства. Обычно есть учётка на «экстренный» случай • Нет ответа за timeout – следующий метод Defcon Russia (DCG #7812) 4
  5. 5. «Атака» №1 5 Tacacs+ server Pentester 1 2 3 Defcon Russia (DCG #7812)
  6. 6. Атака №2. MitM? • А если MitM? • Шифрование • Pre Shared Key Defcon Russia (DCG #7812) 6 Tacacs+ server Pentester
  7. 7. Атака №2. Причины • Шифруются только данные, заголовки – незашифрованные Defcon Russia (DCG #7812) 7
  8. 8. Атака №2. Причины • XOR: encrypted_data=data^pseudo_pad • Pseudo_pad pseudo_pad = {MD5_1 [,MD5_2 [ ... ,MD5_n]]} • MD5x MD5_1 = MD5{session_id, key, version, seq_no} MD5_2 = MD5{session_id, key, version, seq_no, MD5_1} .... MD5_n = MD5{session_id, key, version, seq_no, MD5_n-1} • Единственное неизвестное – key. Но есть только enc_data? «предположить» значения в data? Defcon Russia (DCG #7812) 8
  9. 9. Атака №2. Причины • Отсутствуют случайные значения (и padding) • Нужно только MD5_1 (128 бит) • Пример 1. Аутентификация: Defcon Russia (DCG #7812) 9
  10. 10. Атака №2 • Pseudo_pad=enc_data^data • Pseudo_pad -> MD5_1 -> local bruteforce Defcon Russia (DCG #7812) 10 Tacacs+ server Pentester
  11. 11. Атака №2. Точнее • Pseudo_pad для каждого пакет (seq_num в MD5) • Пример 2. Ответ от сервера. 0 - рандома: Defcon Russia (DCG #7812) 11
  12. 12. Атака №2. SSH • Имя юзер в первом пакете Defcon Russia (DCG #7812) 12
  13. 13. Атака №2. Проще! • Тулза tac2cat (Tacacs 2 HashCat) type 1 – ssh, type 2- telnet • HashCat не поддерживает 2 разные соли MD5{session_id, key, version, seq_no} • Нужно немного тестов с другими цисками Defcon Russia (DCG #7812) 13
  14. 14. Q&A Defcon Russia (DCG #7812) 14 https://twitter.com/antyurin https://github.com/grrrdog

×