LEAP 加密 WLAN 渗透测试

轻量级可扩展身份验证协议 (LEAP) 是一种基于 Cisco 的传统身份验证协议，它使用外部 RADIUS 服务器对用户进行身份验证。它使用散列函数 – MS-CHAP 和 MS-CHAPv2 对无线客户端和身份验证服务器执行伪相互身份验证。

LEAP 的漏洞在于 –

• 用户的用户名以明文形式发送——因此黑客只需要获取用户的密码，例如使用社会工程。

• 用户的密码被 MS-CHAPv2 破解 – 算法容易受到离线字典攻击。

与之前的情况一样，让我们​​从 airodump-ng 开始，找出环境中广播的 WLAN。

如您所见，WLAN“LAB-test”显示为 WPA2 网络。这种类型的身份验证模式更改为“MGT”——这意味着没有静态预共享密钥 (PSK)，但身份验证服务移动到外部身份验证服务器（例如 RADIUS）。那个时候，你不能说特定的 WLAN 网络是基于 LEAP、PEAP、EAP-TLS、EAP-TTLS 还是其他类型的 EAP 技术。

下一步是启用Wireshark，以便查看数据包详细信息——它为渗透测试人员提供了许多有价值的信息。

如您所见，身份验证服务器首先尝试协商 EAP-TTLS，但客户端拒绝了。在接下来的 2 条消息中，他们已同意使用 LEAP。

在前 2 条消息中，身份验证服务器要求提供用户名（身份），客户端回复——如您所见，客户端的回复以明文形式传输。

此时，我们已经知道无线客户端的有效用户名是“LAB_user”。为了找出密码，我们将看看请求/响应交换。

在 802.1x Authentication 标头的底部，您可以观察到身份验证服务器使用挑战文本“197ad3e4c81227a4”挑战无线客户端。然后在后台，无线客户端使用 MS-CHAPv2 算法结合 LAB_user 的密码并得到一个哈希值 – “ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89”，将其发送回身份验证服务器。正如您在前面的章节中所知道的，对我们来说幸运的是，MS-CHAPv2 容易受到离线字典攻击。为此，我们将使用一个非常常用的工具来破解 LEAP 密码，称为asleap。

如您所见，基于数据包捕获，asleap能够导出 802.1X 数据包交换的所有信息并破解 MS-CHAPv2 哈希。用户的密码：“LAB_user”是“f8be4a2c”。

再一次，你很有可能永远不会在生产环境中看到 LEAP 身份验证——至少现在你有一个很好的证据。