1723 - Pentesting PPTP

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

मूल जानकारी

Point-to-Point Tunneling Protocol (PPTP) एक पुराना VPN टनलिंग प्रोटोकॉल है जो remote access के लिए उपयोग होता है। यह नियंत्रण चैनल के लिए TCP port 1723 का उपयोग करता है और PPP payload ले जाने के लिए IP protocol 47 (GRE) का उपयोग करता है। टनल के अंदर की ट्रैफिक आम तौर पर MPPE से सुरक्षित रहती है, जबकि प्रमाणीकरण अक्सर MS-CHAPv2 पर आधारित होता है।

आक्रमक दृष्टिकोण से, दिलचस्प हिस्सा आमतौर पर नियंत्रण कनेक्शन स्वयं नहीं बल्कि यह तथ्य होता है कि PPTP/MS-CHAPv2 handshake को कैप्चर करने से ऑफ़लाइन पासवर्ड या NT-hash रिकवरी सक्षम हो सकती है। यह भी ध्यान रखें कि एक होस्ट TCP/1723 पर उत्तर दे सकता है जबकि टनल अभी भी विफल हो सकता है क्योंकि GRE (protocol 47) फ़िल्टर किया गया है

डिफ़ॉल्ट पोर्ट:1723

ऐन्यूमरेशन

nmap -Pn -sSV -p1723 <IP>
nmap -Pn -sO --protocol 47 <IP>

यदि आप केवल tcp/1723 की पुष्टि करते हैं और GRE को मिस कर देते हैं, तो आप आसानी से यह गलत धारणा बना सकते हैं कि VPN पहुँच योग्य है। समस्या निवारण या sniffing के दौरान, कंट्रोल और इनकैप्सुलेटेड ट्रैफ़िक दोनों को कैप्चर करें:

sudo tcpdump -ni <iface> 'tcp port 1723 or gre' -w pptp-handshake.pcap
tshark -r pptp-handshake.pcap -Y 'pptp || gre || ppp || chap'

Brute Force

हमले के नोट्स

MS-CHAPv2 handshake capture

PPTP के लिए, प्रासंगिक सामग्री GRE के अंदर ले जाई गई PPP प्रमाणीकरण विनिमय है। MS-CHAPv2 में प्रतिक्रिया निम्न पर निर्भर करती है:

  • सर्वर AuthenticatorChallenge
  • क्लाइंट Peer-Challenge
  • username
  • NT-Response

इसका मतलब है कि packet capture अक्सर attack को offline में ले जाने के लिए पर्याप्त होता है। यदि आप initial connection को sniff कर सकते हैं, user से reconnect करने के लिए कह सकते हैं, या खुद को on-path पर पोज़िशन कर सकते हैं, तो handshake को capture करके challenge/response डेटा निकाल लें।

उपयोगी त्वरित फ़िल्टर:

tshark -r pptp-handshake.pcap -Y 'chap'
tshark -r pptp-handshake.pcap -Y 'ppp and chap'

chapcrack के साथ पार्स और डिक्रिप्ट करें

chapcrack अभी भी PPTP capture को process करने के सबसे साफ़ तरीकों में से एक है:

chapcrack.py parse -i pptp-handshake.pcap

यदि आप अंतर्निहित गोपनीय सामग्री पुनः प्राप्त कर लेते हैं, तो आप PPTP packet capture को डिक्रिप्ट कर सकते हैं:

chapcrack.py decrypt -i pptp-handshake.pcap -o pptp-decrypted.pcap -n <recovered_nt_hash_or_token>

यह विशेष रूप से तब उपयोगी होता है जब लक्ष्य केवल credential recovery ही नहीं बल्कि session decryption और post-auth traffic analysis भी हो।

Crack challenge/response material

यदि आपने पहले से ही challenge/response pair निकाल लिया है, asleap को सीधे PPTP/MS-CHAPv2 material के खिलाफ अभी भी उपयोग किया जा सकता है:

asleap -C 58:16:d5:ac:4b:dc:e4:0f -R 50:ae:a3:0a:10:9e:28:f9:33:1b:44:b1:3d:9e:20:91:85:e8:2e:c3:c5:4c:00:23 -W /usr/share/wordlists/rockyou.txt

asleap भी packet captures या precomputed lookup tables से काम करने का समर्थन करता है, लेकिन PPTP assessments के लिए सबसे सामान्य workflow है:

  1. PPTP handshake कैप्चर करें
  2. challenge/response निकालें
  3. asleap, chapcrack, या किसी कस्टम workflow के साथ offline cracking चलाएँ

हालिया tradecraft में NT-hash-first workflows भी शामिल हैं, जैसे assless-chaps, जो तैयार hash database का उपयोग करके MS-CHAPv2/NTLMv1 challenge-response सामग्री से NT hash पुनः प्राप्त करते हैं। यदि आप एक अच्छा NT-hash corpus बनाए रखते हैं तो यह पारंपरिक password cracking की तुलना में तेज़ हो सकता है:

./assless-chaps <challenge> <response> <hashes.db>

यह इसलिए महत्वपूर्ण है क्योंकि PPTP के लिए प्राप्त की गई NT hash अपने आप में ऑपरेशनल रूप से मूल्यवान है: एक बार मिलने के बाद इसे crack को सत्यापित करने, captures को decrypt करने, और Windows-उन्मुख reuse checks में pivot करने के लिए उपयोग किया जा सकता है।

प्रोटोकॉल कमजोरी सारांश

  • PPTP निर्भर करता है एक अलग GRE data channel पर, इसलिए firewalls अक्सर tcp/1723 को expose करते हैं जबकि चुपचाप tunnel को तोड़ देते हैं।
  • MS-CHAPv2 security प्रभावत: DES-derived material / NT-hash-equivalent secrets को recover करने तक सिमट जाती है, जो passive capture को आधुनिक VPNs की तुलना में कहीं अधिक खतरनाक बनाती है।
  • भले ही password तुरंत recover न हो, handshake आमतौर पर stored and attacked offline later किया जा सकता है।

संदर्भ

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें