1723 - Pentesting PPTP

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Βασικές Πληροφορίες

Point-to-Point Tunneling Protocol (PPTP) είναι ένα παλιό πρωτόκολλο VPN tunneling που χρησιμοποιείται για απομακρυσμένη πρόσβαση. Χρησιμοποιεί TCP port 1723 για το control channel και IP protocol 47 (GRE) για να μεταφέρει το PPP payload. Η κίνηση μέσα στο tunnel προστατεύεται συνήθως με MPPE, ενώ η ταυτοποίηση βασίζεται συχνά σε MS-CHAPv2.

Από επιθετική σκοπιά, το ενδιαφέρον σημείο συνήθως δεν είναι η ίδια η σύνδεση ελέγχου αλλά το γεγονός ότι capturing a PPTP/MS-CHAPv2 handshake can enable offline password or NT-hash recovery. Επίσης, να θυμάστε ότι ένας host μπορεί να απαντήσει στο TCP/1723 ενώ το tunnel εξακολουθεί να αποτυγχάνει, επειδή GRE (protocol 47) is filtered.

Προεπιλεγμένη Θύρα:1723

Αναγνώριση

nmap -Pn -sSV -p1723 <IP>
nmap -Pn -sO --protocol 47 <IP>

Αν επιβεβαιώσετε μόνο το tcp/1723 και παραλείψετε το GRE, μπορεί εύκολα να αποκτήσετε την ψευδή εντύπωση ότι το VPN είναι προσβάσιμο. Κατά την αντιμετώπιση προβλημάτων ή το sniffing, καταγράψτε τόσο την ελεγκτική όσο και την ενθυλακωμένη κυκλοφορία:

sudo tcpdump -ni <iface> 'tcp port 1723 or gre' -w pptp-handshake.pcap
tshark -r pptp-handshake.pcap -Y 'pptp || gre || ppp || chap'

Brute Force

Σημειώσεις επίθεσης

MS-CHAPv2 handshake capture

Για PPTP, το σχετικό υλικό είναι το PPP authentication exchange που μεταφέρεται μέσα σε GRE. Σε MS-CHAPv2 η απάντηση εξαρτάται από:

• Ο διακομιστής AuthenticatorChallenge
• Ο πελάτης Peer-Challenge
• Το username
• Το NT-Response

Αυτό σημαίνει ότι μια καταγραφή πακέτων συχνά αρκεί για να μετατραπεί η επίθεση σε offline. Αν μπορείτε να sniff την αρχική σύνδεση, ζητήστε από τον χρήστη να επανασυνδεθεί, ή τοποθετηθείτε on-path, καταγράψτε το handshake και εξαγάγετε τα challenge/response δεδομένα.

Χρήσιμα γρήγορα φίλτρα:

tshark -r pptp-handshake.pcap -Y 'chap'
tshark -r pptp-handshake.pcap -Y 'ppp and chap'

Ανάλυση και αποκρυπτογράφηση με chapcrack

chapcrack εξακολουθεί να είναι ένας από τους πιο απλούς τρόπους για την επεξεργασία μιας καταγραφής PPTP:

chapcrack.py parse -i pptp-handshake.pcap

Εάν ανακτήσετε το υποκείμενο μυστικό υλικό, μπορείτε να αποκρυπτογραφήσετε το PPTP packet capture:

chapcrack.py decrypt -i pptp-handshake.pcap -o pptp-decrypted.pcap -n <recovered_nt_hash_or_token>

Αυτό είναι ιδιαίτερα χρήσιμο όταν ο στόχος δεν είναι μόνο η ανάκτηση credentials αλλά και η session decryption και η ανάλυση post-auth traffic.

Crack challenge/response material

Αν έχετε ήδη εξάγει το challenge/response ζεύγος, το asleap μπορεί ακόμη να χρησιμοποιηθεί απευθείας εναντίον του PPTP/MS-CHAPv2 υλικού:

asleap -C 58:16:d5:ac:4b:dc:e4:0f -R 50:ae:a3:0a:10:9e:28:f9:33:1b:44:b1:3d:9e:20:91:85:e8:2e:c3:c5:4c:00:23 -W /usr/share/wordlists/rockyou.txt

asleap υποστηρίζει επίσης εργασία από packet captures ή προ-υπολογισμένους πίνακες αναζήτησης, αλλά για αξιολογήσεις PPTP η πιο συνηθισμένη ροή εργασίας είναι:

1. Καταγράψτε το PPTP handshake
2. Εξάγετε το challenge/response
3. Εκτελέστε offline cracking με asleap, chapcrack, ή μια προσαρμοσμένη ροή εργασίας

Recent tradecraft also includes NT-hash-first workflows such as assless-chaps, which recover the NT hash from MS-CHAPv2/NTLMv1 challenge-response material using a prepared hash database. This can be faster than conventional password cracking if you maintain a good NT-hash corpus:

./assless-chaps <challenge> <response> <hashes.db>

Αυτό έχει σημασία γιατί για το PPTP το ανακτηθέν NT hash είναι επιχειρησιακά πολύτιμο από μόνο του: μόλις αποκτηθεί, μπορεί να χρησιμοποιηθεί για να επικυρώσει το crack, να αποκρυπτογραφήσει captures, και να pivot σε ελέγχους επαναχρησιμοποίησης προσανατολισμένους σε Windows.

Σύνοψη αδυναμιών πρωτοκόλλου

• Το PPTP εξαρτάται από ένα separate GRE data channel, οπότε τα firewalls συχνά εκθέτουν tcp/1723 ενώ αθόρυβα διακόπτουν το tunnel.
• Η ασφάλεια του MS-CHAPv2 ουσιαστικά καταρρέει σε ανάκτηση υλικού προερχόμενου από DES / μυστικά ισοδύναμα με NT-hash, καθιστώντας το passive capture πολύ πιο επικίνδυνο απ’ ό,τι με τα σύγχρονα VPNs.
• Ακόμη κι αν ο κωδικός πρόσβασης δεν ανακτηθεί άμεσα, το handshake συνήθως μπορεί να αποθηκευτεί και να αντιμετωπιστεί με offline επιθέσεις αργότερα.

Αναφορές

• https://github.com/moxie0/chapcrack
• https://github.com/sensepost/assless-chaps

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.