1723 - Pentesting PPTP

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Basiese Inligting

Point-to-Point Tunneling Protocol (PPTP) is ’n ou VPN tunneling protocol wat vir remote access gebruik word. Dit gebruik TCP port 1723 vir die beheerkanaal en IP protocol 47 (GRE) om die PPP payload te dra. Die verkeer binne die tonnel word gewoonlik beskerm met MPPE, terwyl outentisering gereeld gebaseer is op MS-CHAPv2.

Vanuit ’n offensiewe perspektief is die interessante deel gewoonlik nie die beheerverbinding self nie, maar die feit dat capturing a PPTP/MS-CHAPv2 handshake can enable offline password or NT-hash recovery. Onthou ook dat ’n gasheer op TCP/1723 kan antwoord terwyl die tonnel steeds misluk omdat GRE (protocol 47) is filtered.

Standaardpoort:1723

Enumerasie

nmap -Pn -sSV -p1723 <IP>
nmap -Pn -sO --protocol 47 <IP>

As jy net tcp/1723 bevestig en GRE mis, kan jy maklik die verkeerde indruk kry dat die VPN bereikbaar is. Tydens foutopsporing of sniffing, vang beide die beheer- en ingekapselde verkeer op:

sudo tcpdump -ni <iface> 'tcp port 1723 or gre' -w pptp-handshake.pcap
tshark -r pptp-handshake.pcap -Y 'pptp || gre || ppp || chap'

Brute Force

Aanvalsnotas

MS-CHAPv2 handshake capture

Vir PPTP is die relevante materiaal die PPP-authentiseringsuitruiling wat binne GRE vervoer word. In MS-CHAPv2 hang die respons af van:

  • The server AuthenticatorChallenge
  • The client Peer-Challenge
  • The username
  • The NT-Response

Dit beteken dat ’n packet capture dikwels genoeg is om die attack offline te skuif. As jy die initial connection kan sniff, vra die gebruiker om weer te reconnect, of posisioneer jouself on-path, capture die handshake en onttrek die challenge/response data.

Nuttige vinnige filters:

tshark -r pptp-handshake.pcap -Y 'chap'
tshark -r pptp-handshake.pcap -Y 'ppp and chap'

Ontleed en ontsleutel met chapcrack

chapcrack is nog steeds een van die netste maniere om ’n PPTP-opname te verwerk:

chapcrack.py parse -i pptp-handshake.pcap

As jy die onderliggende geheime materiaal terugkry, kan jy die PPTP packet capture ontsleutel:

chapcrack.py decrypt -i pptp-handshake.pcap -o pptp-decrypted.pcap -n <recovered_nt_hash_or_token>

Dit is veral nuttig wanneer die doel nie net credential recovery is nie, maar ook session decryption en post-auth traffic analysis.

Crack challenge/response materiaal

As jy reeds die challenge/response-paar geëkstraheer het, kan asleap steeds direk teen PPTP/MS-CHAPv2 materiaal gebruik word:

asleap -C 58:16:d5:ac:4b:dc:e4:0f -R 50:ae:a3:0a:10:9e:28:f9:33:1b:44:b1:3d:9e:20:91:85:e8:2e:c3:c5:4c:00:23 -W /usr/share/wordlists/rockyou.txt

asleap ondersteun ook werk vanaf packet captures of precomputed lookup tables, maar vir PPTP assessments is die mees algemene workflow:

  1. Vang die PPTP handshake
  2. Haal die challenge/response uit
  3. Voer offline cracking uit met asleap, chapcrack, of ’n custom workflow

Onlangse tradecraft sluit ook NT-hash-first workflows in, soos assless-chaps, wat die NT hash uit MS-CHAPv2/NTLMv1 challenge-response materiaal herstel deur ’n voorbereide hash database te gebruik. Dit kan vinniger wees as konvensionele password cracking as jy ’n goeie NT-hash corpus onderhou:

./assless-chaps <challenge> <response> <hashes.db>

Dit is belangrik omdat vir PPTP die herwonne NT hash is prakties waardevol op sigself: sodra dit verkry is, kan dit gebruik word om die crack te valideer, decrypt captures, en te pivot na Windows-oriented reuse checks.

Opsomming van protokol swakhede

  • PPTP is afhanklik van ’n separate GRE data channel, sodat firewalls dikwels tcp/1723 blootstel terwyl hulle die tonnel stilweg breek.
  • MS-CHAPv2 security effectively collapses to recovering DES-derived material / NT-hash-equivalent secrets, wat passive capture baie gevaarliker maak as met moderne VPNs.
  • Selfs al word die wagwoord nie onmiddellik herstel nie, kan die handshake gewoonlik stored and attacked offline later.

Verwysings

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks