轻量级可扩展身份验证协议(LEAP)是基于Cisco的旧式身份验证协议，它使用外部RADIUS服务器对用户进行身份验证。它使用哈希功能-MS-CHAP和MS-CHAPv2对无线客户端和身份验证服务器执行伪相互身份验证。

LEAP的漏洞在于-

• 用户的用户名以明文形式发送-因此，黑客只需要使用例如社会工程学就可以获取用户的密码。

• 用户的密码已被MS-CHAPv2破解-算法容易受到离线字典攻击。

与以前的情况相同，让我们从airodump-ng开始，找出环境中广播了哪些WLAN。

如您所见，WLAN“ LAB-test”作为WPA2网络可见。此类型将身份验证模式更改为“ MGT”，这意味着没有静态的预共享密钥(PSK)，但是身份验证服务已移至外部身份验证服务器(例如RADIUS)。在这一点上，您不能说特定的WLAN网络是基于LEAP，PEAP，EAP-TLS，EAP-TTLS还是其他类型的EAP技术。

下一步是启用Wireshark ，以查看数据包的详细信息-它为渗透测试人员提供了许多有价值的信息。

如您所见，身份验证服务器首先尝试协商EAP-TTLS，但是客户端拒绝了。在接下来的2条消息中，他们同意使用LEAP。

在前2条消息中，身份验证服务器要求输入用户名(Identity)，然后客户端答复–如您所见，客户端的答复以明文形式传输。

到那时，我们已经知道无线客户端的有效用户名是“ LAB_user”。为了找出密码，我们将看看请求/响应交换。

在802.1x身份验证标头的底部，您可以看到身份验证服务器使用质询文本“ 197ad3e4c81227a4”质询了无线客户端。然后，在后台，无线客户端使用了MS-CHAPv2算法和LAB_user的密码，并得到了一个哈希值-“ ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89”，该哈希值已发送回身份验证服务器。从前面的章节中可以知道，对我们来说幸运的是，MS-CHAPv2容易受到脱机字典攻击。为此，我们将使用一个非常常见的工具来破坏LEAP密码，称为asleap 。

如您所见，基于数据包捕获， asleap能够导出802.1X数据包交换和破解MS-CHAPv2哈希的所有信息。用户的密码：“ LAB_user”为“ f8be4a2c”。

再一次，您很有可能永远不会在生产环境中看到LEAP身份验证-至少现在您有一个很好的证据来证明为什么。