在這篇文章中，作者介紹了繞過Cisco設(shè)備的 TACACS 的三種方式。

No.1 利用DoS攻擊繞過 Cisco TACACS+

No.2 本地爆破PSK繞過 Cisco TACACS+

No.3 利用中間人攻擊繞過 Cisco TACACS+

一般來說，在一個大型網(wǎng)絡(luò)中會有很多網(wǎng)絡(luò)設(shè)備，如何管理這些網(wǎng)絡(luò)設(shè)備的訪問權(quán)限可能是個大問題。因此，大多數(shù)公司都會實現(xiàn)集中化的權(quán)限訪問協(xié)議。Cisco 設(shè)備支持 TACACS+ 和 RADIUS 協(xié)議。

0x00 TACACS 協(xié)議簡介

TACACS(Terminal Access Controller Access Control System，終端訪問控制器控制系統(tǒng)協(xié)議)是一種用于認證的計算機協(xié)議，在 UNIX 網(wǎng)絡(luò)中與認證服務(wù)器進行通信，TACACS 允許遠程訪問服務(wù)器與認證服務(wù)器通信，以決定用戶是否有權(quán)限訪問網(wǎng)絡(luò)。

TACACS 允許客戶端接受用戶名和口令，并發(fā)往通常稱作 TACACS 守護進程(或者簡單地稱作 TACACSD )的 TACACS 認證服務(wù)器，這個服務(wù)器一般是在主機上運行的一個程序。主機將決定是否接受或拒絕請求，并發(fā)回一個響應(yīng)。 TIP(用戶想要登錄的接受撥入鏈接的路由節(jié)點)將基于這個響應(yīng)接受或拒絕訪問。這樣，做出決定的過程是"向上開放"(opened up)的，做出決定所用的算法和數(shù)據(jù)完全由 TACACS 守護進程的運行者控制。

Cisco 在 1990 引進的最近的 TACACS 版本稱作 XTACACS(擴展 TACACS)。在較新的或更新過的網(wǎng)絡(luò)中，這兩個版本大多被 TACACS+ 和 RADIUS 所取代。

TACACS 在RFC 1492中定義，默認使用 TCP 或 UDP 協(xié)議的 49 端口。

0x01 TACACS+ 協(xié)議簡介

TACACS+ 是一個全新的協(xié)議，與 TACACS 和 XTACACS 并不兼容。TACACS+ 所使用的端口為 TCP/49。

TACACS+(Terminal Access Controller Access Control System Plus)是在 TACACS 協(xié)議的基礎(chǔ)上進行了功能增強的安全協(xié)議。該協(xié)議與 RADIUS 協(xié)議的功能類似，采用客戶端/服務(wù)器模式實現(xiàn) NAS 與 TACACS+ 服務(wù)器之間的通信。

TACACS+ 協(xié)議主要用于 PPP 和 VPDN(Virtual Private Dial-up Network，虛擬私有撥號網(wǎng)絡(luò))接入用戶及終端用戶的 AAA。

AAA 是 Authentication、Authorization、Accounting(認證、授權(quán)、計費)的簡稱，是網(wǎng)絡(luò)安全的一種管理機制，提供了認證、授權(quán)、計費三種安全功能。

認證：確認訪問網(wǎng)絡(luò)的遠程用戶的身份，判斷訪問者是否為合法的網(wǎng)絡(luò)用戶。

授權(quán)：對不同用戶賦予不同的權(quán)限，限制用戶可以使用的服務(wù)。例如用戶成功登錄服務(wù)器后，管理員可以授權(quán)用戶對服務(wù)器中的文件進行訪問和打印操作。

計費：記錄用戶使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類型、起始時間、數(shù)據(jù)流量等，它不僅是一種計費手段，也對網(wǎng)絡(luò)安全起到了監(jiān)視作用。

0x02 TACACS+ 認證過程

TACACS+ 服務(wù)通常會有一個特殊的服務(wù)器，所有的網(wǎng)絡(luò)設(shè)備都會被配置成使用 TACACS+ 服務(wù)器進行身份驗證。當一個用戶在交換機，路由器或其他網(wǎng)絡(luò)設(shè)備上進行認證時，網(wǎng)絡(luò)設(shè)備會發(fā)送該用戶的憑證到 TACACS+ 服務(wù)器進行驗證，然后決定分配訪問相關(guān)設(shè)備的權(quán)限，并將這些決定的結(jié)果包含在應(yīng)答數(shù)據(jù)包中并發(fā)送到網(wǎng)絡(luò)設(shè)備上，再由網(wǎng)絡(luò)設(shè)備發(fā)送到用戶終端。

圖 1 ： TACACS+ 認證過程

這是一個非常方便和集中化的做法?？梢栽诓煌脑O(shè)備上為用戶設(shè)置不同的權(quán)限。還有就是記錄訪問和操作均在服務(wù)器端。也可以在當前這種模式下再添加一種集中化式的管理方式，如 Active Directory 或 LDAP。不過，思科已將 TACACS+ 協(xié)議規(guī)范公開，所以現(xiàn)在有了一種 TACACS+ 服務(wù)的開源實現(xiàn)。

0x03 繞過 Cisco TACACS+ 的三種攻擊方式

No.1 利用 DoS 攻擊繞過 Cisco TACACS+

第一種攻擊方式并不是一種攻擊類型，準確的說是一個技巧，但是有時候在某些情況下是非常有用的。

讓我們假定這么一個場景：

某滲透人員在目標公司的 TFTP 服務(wù)器中下載到了 Cisco 設(shè)備的配置文件，但是即使利用該配置文件破解出了設(shè)備的登陸賬戶信息，也依舊無法登陸到該設(shè)備中，原因就在于該設(shè)備將會使用 TACACS+ 服務(wù)驗證本地賬戶。

使用 TACACS+ 進行身份驗證是網(wǎng)絡(luò)設(shè)備的一種典型配置。讓我們繼續(xù)假設(shè)，在 TACACS+ 服務(wù)器與網(wǎng)絡(luò)設(shè)備之間發(fā)生了點什么，導(dǎo)致網(wǎng)絡(luò)設(shè)備無法訪問 TACACS+ 服務(wù)器。在這種情況，連管理員自己都不可能登錄到網(wǎng)絡(luò)設(shè)備中。為了解決這樣的典型情況，Cisco 設(shè)備支持認證方式的回退，管理員可以設(shè)置不同的認證配置。

在 Cisco 設(shè)備中，一種使用 TACACS+ 進行身份驗證的典型配置如下：

aaa authentication login default group tacacs+ local

上述配置表明，首選的身份驗證為 TACACS+，之后才會使用本地驗證方式(查詢本地數(shù)據(jù)庫)進行身份驗證。同時，要注意，即使 TACACS+ 服務(wù)沒有發(fā)現(xiàn)一個用戶的認證憑證，設(shè)備也不會使用本地驗證方式。

也就是說，只有在 TACACS+ 服務(wù)不可用時，才會使用本地驗證方式。

所以，第一種攻擊思路很簡單。我們只要對 TACACS+ 服務(wù)發(fā)動 DoS 攻擊，之后連接到 Cisco 設(shè)備的本地帳戶中(從 TFTP 服務(wù)器中下載并破解得到)。由于 TACACS+ 服務(wù)遭到 DoS 攻擊無法訪問，所以網(wǎng)絡(luò)設(shè)備會提供給我們所期望的訪問權(quán)限。我們可以使用多種 DoS 攻擊。例如，我們可以發(fā)動臨時的 DoS 攻擊，對 TACACS+ 服務(wù)器創(chuàng)建大量基于 TCP 的連接。

圖 2 ：對 TACACS+ 服務(wù)器發(fā)動 DoS 攻擊

在介紹第二種和第三種攻擊方式前需要了解的知識

在介紹第二種和第三種攻擊方式前，我們需要了解一下 TACACS+ 協(xié)議。該協(xié)議的數(shù)據(jù)是明文或者是加密后傳輸?shù)?。采用了基于PSK(預(yù)共享密鑰)的自定義加密方式。管理員可以在 TACACS+ 服務(wù)器上設(shè)置加密密鑰，只要能夠訪問到 TACACS+ 服務(wù)器的網(wǎng)絡(luò)設(shè)備都會在身份驗證時使用這個加密密鑰。

有一點值得注意的是，只有用戶的憑證數(shù)據(jù)是加密的， TACACS+ 協(xié)議的報頭信息并沒有加密。

加密的具體細節(jié)如下：

加密的結(jié)果(enc_data)是未加密的用戶的憑證數(shù)據(jù) (data)與一個特殊的字符串(pseudo_pad)進行XOR操作后得到的。

data^pseudo_pad = enc_data

pseudo_pad 是幾個拼接的 MD5 哈希。

pseudo_pad = {MD5_1 [,MD5_2 [ ... ,MD5_n]]}

MD5 哈希的值是對 TACACS+ 數(shù)據(jù)包報頭信息，密鑰(PSK)和前一個 MD5 哈希值加密的結(jié)果。因此，可以看到，第一個 MD5 是沒有前一個 MD5 哈希值的。

MD5_1 = MD5{session_id, key, version, seq_no}
MD5_2 = MD5{session_id, key, version, seq_no, MD5_1}
....
MD5_n = MD5{session_id, key, version, seq_no, MD5_n-1}

SESSION_ID - 是一個會話的隨機標識符;

version - TACACS+ 協(xié)議的版本;

seq_no - 會話數(shù)據(jù)包的增量;

key - PSK。

加密的數(shù)據(jù)如下圖所示：

圖 3 ：數(shù)據(jù)包中的加密數(shù)據(jù)

No.2 爆破 PSK 繞過 Cisco TACACS+

OK，了解了上面的一些知識后，我們就可以理解后面兩種攻擊方式了。

假設(shè)現(xiàn)在有一臺 Cisco 網(wǎng)絡(luò)設(shè)備和一臺 TACACS+ 服務(wù)器，我們已經(jīng)得到了這兩臺服務(wù)器之間傳輸?shù)?TACACS+ 協(xié)議的加密數(shù)據(jù)(可以通過中間人攻擊得到)?，F(xiàn)在，我們只要得到了 PSK 就可以解密已加密的數(shù)據(jù)，之后，我們就可以得到一個有效的賬戶了。

現(xiàn)在，讓我們看看該如何做到這一點。首先，我們可以看到，任何一個 MD5 哈希(尤其是第一個 MD5)都是由幾個固定的值組成的。但是，其中只有一個是未知的 —— PSK。所有其它的值(SESSION_ID，version，seq_no)，我們都可以從 TACACS+ 數(shù)據(jù)包的報頭中獲取到。因此，我們可以使用本地離線暴力破解攻擊的方式獲得 PSK。而我們知道，暴力破解 MD5 是很快的。但在開始爆破前，我們需要得到第一個 MD5 哈希(MD5_1)。

我們知道，XOR 是一種可逆性的操作。所以，我們可以這樣做

data^pseudo_pad = enc_data

將其轉(zhuǎn)換為

pseudo_pad = data^enc_data

MD5_1只是pseudo_pad的第一部分。pseudo_pad的大小為 128位(或16字節(jié))。如果我們想得到MD5_1，我們需要知道 16字節(jié)的已加密和已解密的數(shù)據(jù)即(data)。我們可以從傳輸?shù)臄?shù)據(jù)包中獲得已加密數(shù)據(jù)。但是，現(xiàn)在我們?nèi)绾尾拍艿玫?16字節(jié) 的解密數(shù)據(jù)呢?

需要注意的是，身份驗證、授權(quán)、計費這三種類型的 TACACS + 數(shù)據(jù)包的請求和響應(yīng)的格式是不同的。然而，對于這些不同的數(shù)據(jù)包，我有一個通用的思路，因為，在任何類型的數(shù)據(jù)包的前 16 個字節(jié)中幾乎沒有未知的或隨機的值。

我不會去深究每種數(shù)據(jù)包類型中的技術(shù)細節(jié)。只是舉一個例子以說明這個想法。這是 TACACS+ 服務(wù)器響應(yīng)的第一個數(shù)據(jù)包(如下圖所示)。它由幾個具有單一意義的字段和一條 Cisco 設(shè)備發(fā)送給用戶的問候消息組成。由于我們可以任意連接到 Cisco 設(shè)備，所以就可以很輕易的得到響應(yīng)數(shù)據(jù)包同時也就知道了所有字段的值。

圖 4 : TACACS+ 服務(wù)器響應(yīng)的第一個數(shù)據(jù)包

因此，從目前來看，我們幾乎總是可以知道任何數(shù)據(jù)包的前 16 字節(jié)解密后的數(shù)據(jù)。所以我們就可以得到MD5_1，并使用本地離線暴力破解進行攻擊。如果爆破成功了，我們就能夠解密整個通信的數(shù)據(jù)。為了簡化數(shù)據(jù)包的接收并解析出MD5_1，我寫了一個小腳本 —— tac2cat.py。它是TacoTaco 項目的一部分。

No.3 利用中間人攻擊 繞過 Cisco TACACS+

對于最后一種攻擊方式，我們可以利用中間人攻擊篡改 TACACS+ 服務(wù)器和 Cisco 設(shè)備之間傳輸?shù)臄?shù)據(jù)。我們的目的是獲取到 Cisco 設(shè)備的所有權(quán)限。

在重新審查 TACACS+ 協(xié)議時，我發(fā)現(xiàn)了兩個額外的"特點"。

第一個是在 TACACS+ 協(xié)議傳輸過程中并沒有檢查數(shù)據(jù)包的完整性。所以，如果我們利用中間人攻擊改變了傳輸中的加密的部分，那么也就改變了解密的結(jié)果 (因為它只進行了 XOR 操作)，但 TACACS+ 服務(wù)器并不會發(fā)現(xiàn)所做的更改，并以正常的方式處理已經(jīng)被修改過的傳輸數(shù)據(jù)。

圖 5 ： TACACS+ 協(xié)議數(shù)據(jù)包

第二個特點是關(guān)于 TACACS+ 數(shù)據(jù)包的格式。在身份驗證和授權(quán)的過程中，應(yīng)答的數(shù)據(jù)包中的第一個字節(jié)指示了訪問權(quán)限授予的結(jié)果。

例如，"0x01"代表了用戶通過了服務(wù)器的身份驗證過程 (授予訪問權(quán)限) ，"0x02"代表了用戶的憑據(jù)是無效的。

總之，我們只需要更改服務(wù)器應(yīng)答的數(shù)據(jù)包的一個字節(jié)即可!

獲取該字節(jié)的pseudo_pad: 將加密的字節(jié)和解密的字節(jié)進行 XOR 操作 (我們知道解密的字節(jié)的值，因為如果我們輸入不正確的憑據(jù)后，服務(wù)器會拒絕訪問并設(shè)置第一個字節(jié)為 0x02。

將這個pseudo_pad與成功的身份驗證標識 (0x01) 進行 XOR 操作

將新的字節(jié)加入到加密的數(shù)據(jù)包中并發(fā)送給服務(wù)器。

因此，利用中間人攻擊，我們可以對任何使用無效憑證的用戶的傳輸數(shù)據(jù)和訪問權(quán)限授予(身份認證和授權(quán))進行更改。此外，我們也可以繞過 Cisco 設(shè)備中特權(quán)用戶提升(“enable” 密碼)的身份驗證過程。

為了方便進行中間人攻擊，我寫了一個小腳本——tacflip.py，是 TacoTaco 項目的一部分。

我已經(jīng)在 Cisco 7200 路由器的 GNS3 模擬器和開源實現(xiàn)的 TACACS+ 服務(wù)器——tac_plus 中成功驗證了這種(繞過身份驗證，特權(quán)用戶提升授權(quán))攻擊方式，下面是路由器中配置文件的一部分：

aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+
aaa authorization exec default group tacacs+ local
tacacs-server host 192.168.182.136
tacacs-server directed-request
tacacs-server key 12345

這個小視頻演示了在 Cisco 路由上進行繞過身份驗證/授權(quán)、特權(quán)提權(quán)和命令執(zhí)行的攻擊過程。

點我看小視頻

0x04 一點兒題外話

在 2000 年，Solar Designer 針對 TACACS+ 協(xié)議做了一個很有趣的研究(鏈接在此)，例如，他發(fā)現(xiàn)了重放攻擊，用戶密碼長度信息泄漏，位翻轉(zhuǎn)攻擊等漏洞。但我并沒有找到 這些漏洞的 PoCs。

對于我對 TACACS+ 協(xié)議所做的"研究"，都是在與協(xié)議進行了隨機的互動操作后的很長一段時間里的一些想法。正因為如此，我忘了有關(guān) Solar Designer 研究的結(jié)果并且重新了解了他的一些發(fā)現(xiàn)。

因此，可能我工作的最重要的結(jié)果就是 TacoTaco 項目。它是這篇文章所講述的攻擊方式的具體實現(xiàn)。

0x05 總結(jié)

從目前來看，我認為，TACACS+ 協(xié)議并沒有針對中間人攻擊提供必要的保護級別。

不過話又說回來，有時很難在實戰(zhàn)中執(zhí)行所有這些攻擊操作，因為 Cisco 建議將 TACACS+ 服務(wù)器放置在一個特殊的管理方式中 —— VLAN (只有管理員和網(wǎng)絡(luò)設(shè)備才能訪問) 。當然，也有方法可以滲透到 VLAN 中并控制它，不過這就是另一碼事兒了。

0x06 參考及引用

https://zh.wikipedia.org/wiki/TACACS

http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Seven/Home/Catalog/201309/797633_97665_0.htm

https://zh.wikipedia.org/wiki/TACACS%2B

原文地址：3 attacks on cisco tacacs bypassing