1723 - Pentesting PPTP

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Temel Bilgiler

Point-to-Point Tunneling Protocol (PPTP), uzaktan erişim için kullanılan eski bir VPN tünelleme protokolüdür. Kontrol kanalı için TCP port 1723 ve PPP yükünü taşımak için IP protocol 47 (GRE) kullanır. Tünel içindeki trafik genellikle MPPE ile korunur; kimlik doğrulama ise sıklıkla MS-CHAPv2’ye dayanır.

Saldırı açısından ilginç olan kısım genellikle kontrol bağlantısının kendisi değil, bir PPTP/MS-CHAPv2 handshake’inin yakalanmasının çevrimdışı parola veya NT-hash kurtarmayı mümkün kılabilmesidir. Ayrıca bir host’un TCP/1723 üzerinde yanıt verebileceğini, ancak tünelin GRE (protocol 47) filtrelendiği için yine de başarısız olabileceğini unutmayın.

Varsayılan Port:1723

Keşif

nmap -Pn -sSV -p1723 <IP>
nmap -Pn -sO --protocol 47 <IP>

Eğer yalnızca tcp/1723’ü doğrular ve GRE’yi kaçırırsanız, VPN’in erişilebilir olduğu konusunda kolayca yanlış bir izlenime kapılabilirsiniz. Troubleshooting veya sniffing sırasında hem kontrol hem de kapsüllenmiş trafiği yakalayın:

sudo tcpdump -ni <iface> 'tcp port 1723 or gre' -w pptp-handshake.pcap
tshark -r pptp-handshake.pcap -Y 'pptp || gre || ppp || chap'

Brute Force

Saldırı Notları

MS-CHAPv2 handshake capture

PPTP için ilgili içerik, GRE içinde taşınan PPP kimlik doğrulama değişimidir. MS-CHAPv2’de yanıt şu öğelere bağlıdır:

• Sunucu AuthenticatorChallenge
• İstemci Peer-Challenge
• username
• NT-Response

Bu, bir paket yakalamanın genellikle saldırıyı offline’a taşımak için yeterli olduğu anlamına gelir. İlk bağlantıyı sniff’leyebiliyorsanız, kullanıcıdan yeniden bağlanmasını isteyin veya kendinizi on-path konumuna getirin, handshake’i yakalayın ve challenge/response verilerini çıkarın.

Faydalı hızlı filtreler:

tshark -r pptp-handshake.pcap -Y 'chap'
tshark -r pptp-handshake.pcap -Y 'ppp and chap'

Parse and decrypt with chapcrack

chapcrack, bir PPTP capture’ını işlemek için hâlâ en temiz yollardan biridir:

chapcrack.py parse -i pptp-handshake.pcap

Eğer alttaki gizli materyali kurtarırsanız, PPTP packet capture’ı deşifre edebilirsiniz:

chapcrack.py decrypt -i pptp-handshake.pcap -o pptp-decrypted.pcap -n <recovered_nt_hash_or_token>

Bu, amaç yalnızca kimlik bilgilerini kurtarmak değil, aynı zamanda oturum şifre çözme ve kimlik doğrulama sonrası trafik analizi olduğunda özellikle faydalıdır.

Crack challenge/response verisi

Eğer challenge/response çiftini zaten çıkardıysanız, asleap yine doğrudan PPTP/MS-CHAPv2 verisine karşı kullanılabilir:

asleap -C 58:16:d5:ac:4b:dc:e4:0f -R 50:ae:a3:0a:10:9e:28:f9:33:1b:44:b1:3d:9e:20:91:85:e8:2e:c3:c5:4c:00:23 -W /usr/share/wordlists/rockyou.txt

asleap ayrıca paket yakalamalardan veya önceden hesaplanmış lookup tablolarından çalışma desteği sağlar, ancak PPTP değerlendirmeleri için en yaygın iş akışı şudur:

1. PPTP el sıkışmasını yakalayın
2. challenge/response’ı çıkarın
3. asleap, chapcrack veya özel bir iş akışı ile offline cracking çalıştırın

Recent tradecraft ayrıca NT-hash-first iş akışlarını da içerir; örneğin assless-chaps, hazırlanan bir hash veritabanı kullanarak MS-CHAPv2/NTLMv1 challenge-response materyalinden NT hash’i kurtarır. Eğer iyi bir NT-hash korpusuna sahipseniz, bu geleneksel parola kırmadan daha hızlı olabilir:

./assless-chaps <challenge> <response> <hashes.db>

Bu önemlidir çünkü PPTP için elde edilen NT hash kendi başına operasyonel olarak değerlidir: bir kez elde edildiğinde, crack’i doğrulamak, yakalanan paketlerin şifresini çözmek ve Windows odaklı yeniden kullanım kontrollerine pivot yapmak için kullanılabilir.

Protokol zayıflığı özeti

• PPTP, ayrı bir GRE data channel’a dayanır; bu yüzden güvenlik duvarları genellikle tcp/1723’ü açar ancak tüneli sessizce bozar.
• MS-CHAPv2 güvenliği esasen DES türevi materyal / NT-hash-equivalent sırlarının elde edilmesine indirgenir, bu da pasif yakalamayı modern VPN’lere kıyasla çok daha tehlikeli hale getirir.
• Parola hemen elde edilmemiş olsa bile, handshake genellikle saklanıp daha sonra offline olarak saldırılabilir.

Kaynaklar

• https://github.com/moxie0/chapcrack
• https://github.com/sensepost/assless-chaps

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.