1723 - Pentesting PPTP

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Point-to-Point Tunneling Protocol (PPTP) je stari VPN protokol za tunelovanje koji se koristi za remote access. Koristi TCP port 1723 za kontrolni kanal i IP protocol 47 (GRE) za prenos PPP payload-a. Saobraćaj unutar tunela je obično zaštićen sa MPPE, dok se autentikacija često zasniva na MS-CHAPv2.

Iz ofanzivne perspektive, zanimljiv deo obično nije sama kontrolna konekcija, već činjenica da hvatanje PPTP/MS-CHAPv2 handshake-a može omogućiti offline password ili NT-hash recovery. Takođe imajte na umu da host može odgovarati na TCP/1723 dok tunel i dalje ne funkcioniše zato što je GRE (protocol 47) filtriran.

Podrazumevani port: 1723

Enumeracija

nmap -Pn -sSV -p1723 <IP>
nmap -Pn -sO --protocol 47 <IP>

Ako samo potvrdite tcp/1723 i propustite GRE, lako možete steći lažan utisak da je VPN dostupan. Tokom otklanjanja problema ili sniffing-a, snimite i kontrolni i enkapsulirani saobraćaj:

sudo tcpdump -ni <iface> 'tcp port 1723 or gre' -w pptp-handshake.pcap
tshark -r pptp-handshake.pcap -Y 'pptp || gre || ppp || chap'

Brute Force

Beleške o napadu

MS-CHAPv2 handshake capture

Za PPTP, relevantni materijal je PPP authentication exchange transportovan unutar GRE. U MS-CHAPv2 odgovor zavisi od:

• The server AuthenticatorChallenge
• The client Peer-Challenge
• The username
• The NT-Response

To znači da je packet capture često dovoljan da se napad prebaci offline. If you can sniff the initial connection, request the user to reconnect, or position yourself on-path, capture the handshake and extract the challenge/response data.

Korisni brzi filteri:

tshark -r pptp-handshake.pcap -Y 'chap'
tshark -r pptp-handshake.pcap -Y 'ppp and chap'

Parsiranje i dešifrovanje pomoću chapcrack

chapcrack je i dalje jedan od najčistijih načina da se obradi PPTP capture:

chapcrack.py parse -i pptp-handshake.pcap

Ako povratite osnovni tajni materijal, možete dešifrovati PPTP packet capture:

chapcrack.py decrypt -i pptp-handshake.pcap -o pptp-decrypted.pcap -n <recovered_nt_hash_or_token>

Ovo je posebno korisno kada cilj nije samo oporavak kredencijala već i dešifrovanje sesije i analiza saobraćaja nakon autentifikacije.

Crack challenge/response material

Ako ste već izvukli challenge/response par, asleap se i dalje može direktno koristiti protiv PPTP/MS-CHAPv2 materijala:

asleap -C 58:16:d5:ac:4b:dc:e4:0f -R 50:ae:a3:0a:10:9e:28:f9:33:1b:44:b1:3d:9e:20:91:85:e8:2e:c3:c5:4c:00:23 -W /usr/share/wordlists/rockyou.txt

asleap takođe podržava rad iz snimaka paketa ili unapred izračunatih lookup tabela, ali za PPTP procene najčešći tok rada je:

1. Snimite PPTP handshake
2. Izdvojite challenge/response
3. Pokrenite offline cracking pomoću asleap, chapcrack ili prilagođenog toka rada

Nedavna praksa takođe uključuje NT-hash-first tokove rada kao što su assless-chaps, koji oporavljaju NT hash iz MS-CHAPv2/NTLMv1 challenge-response materijala koristeći pripremljenu hash bazu podataka. Ovo može biti brže od konvencionalnog password crackinga ako održavate dobar NT-hash korpus:

./assless-chaps <challenge> <response> <hashes.db>

Ovo je važno zato što je za PPTP rekonstruisani NT hash operativno vredan sam po sebi: jednom dobijen, može se koristiti za validaciju crack-a, decrypt captures i pivot u Windows-oriented reuse checks.

Sažetak slabosti protokola

• PPTP zavisi od separate GRE data channel, pa firewalls često izlažu tcp/1723 dok tiho prekidaju tunel.
• MS-CHAPv2 security effectively collapses to recovering DES-derived material / NT-hash-equivalent secrets, čineći passive capture znatno opasnijim nego kod modernih VPNs.
• Čak i ako password nije odmah povraćen, handshake se obično može stored and attacked offline later.

References

• https://github.com/moxie0/chapcrack
• https://github.com/sensepost/assless-chaps

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

• Proverite planove pretplate!
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
• Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.