📜  对LEAP加密的WLAN进行渗透测试

📅  最后修改于: 2020-12-03 06:36:54             🧑  作者: Mango


轻量级可扩展身份验证协议(LEAP)是基于Cisco的旧式身份验证协议,它使用外部RADIUS服务器对用户进行身份验证。它使用哈希功能-MS-CHAP和MS-CHAPv2对无线客户端和身份验证服务器执行伪相互身份验证。

LEAP的漏洞在于-

  • 用户的用户名以明文形式发送-因此,黑客只需要使用例如社会工程学就可以获取用户的密码。

  • 用户的密码已被MS-CHAPv2破解-算法容易受到离线字典攻击。

与以前的情况相同,让我们从airodump-ng开始,找出环境中广播了哪些WLAN。

广播WLAN

如您所见,WLAN“ LAB-test”作为WPA2网络可见。此类型将身份验证模式更改为“ MGT”,这意味着没有静态的预共享密钥(PSK),但是身份验证服务已移至外部身份验证服务器(例如RADIUS)。在这一点上,您不能说特定的WLAN网络是基于LEAP,PEAP,EAP-TLS,EAP-TTLS还是其他类型的EAP技术。

下一步是启用Wireshark ,以查看数据包的详细信息-它为渗透测试人员提供了许多有价值的信息。

启用Wireshark

如您所见,身份验证服务器首先尝试协商EAP-TTLS,但是客户端拒绝了。在接下来的2条消息中,他们同意使用LEAP。

在前2条消息中,身份验证服务器要求输入用户名(Identity),然后客户端答复–如您所见,客户端的答复以明文形式传输。

客户回覆

到那时,我们已经知道无线客户端的有效用户名是“ LAB_user”。为了找出密码,我们将看看请求/响应交换。

要求回应

在802.1x身份验证标头的底部,您可以看到身份验证服务器使用质询文本“ 197ad3e4c81227a4”质询了无线客户端。然后,在后台,无线客户端使用了MS-CHAPv2算法和LAB_user的密码,并得到了一个哈希值-“ ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89”,该哈希值已发送回身份验证服务器。从前面的章节中可以知道,对我们来说幸运的是,MS-CHAPv2容易受到脱机字典攻击。为此,我们将使用一个非常常见的工具来破坏LEAP密码,称为asleap

跳升

如您所见,基于数据包捕获, asleap能够导出802.1X数据包交换和破解MS-CHAPv2哈希的所有信息。用户的密码:“ LAB_user”为“ f8be4a2c”。

再一次,您很有可能永远不会在生产环境中看到LEAP身份验证-至少现在您有一个很好的证据来证明为什么。