一种绕过TACACS+的思路

最近对一些交换机做口令猜测检查的时候遇到一个奇怪的现象:配置AAA认证的交换机总能扫出一些弱口令,而且每次都不一样还都不能登录,更神奇的是返回的session确实能执行命令。

0x00 什么是AAA认证

AAA是指用使用AuthenticationAuthorizationAccounting三种功能对要管理交换机的用户做控制。 Authentication(认证):对用户的身份进行认证,决定是否允许此用户访问网络设备。Authorization(授权):针对用户的不同身份,分配不同的权限,限制每个用户的操作Accounting(计费):对每个用户的操作进行审计和计费

0x01 什么是TACACS+

TACACS+(Terminal Access Controller Access Control System,终端访问控制器控制系统协议)是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似,采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。

0x02 TACACS+的用途

TACACS+协议主要用于PPP和VPDN(Virtual Private Dial-up Network,虚拟私有拨号网络)接入用户及终端用户的AAA。

0x03 排查过程

说白了,AAA认证是一种集中认证的模式。所有的认证都是在AAA服务器上完成的,交换机只能得到认证结果。猜测可能是AAA认证服务器出问题了,不过不太了解AAA认证服务器。看了同事发的一篇文章(http://www.vuln.cn/7043)。

然后看了下交换机的配置文件,找AAA认证相关的配置。发现了以下配置。

aaa authentication login default group tacacs+ local line none

网上搜了一下,这个配置的意思就是AAA认证使用TACACS+完成。当AAA认证无法认证时使用local认证,当前面都无法认证则不需要认证(注意,不是认证失败,是无法认证。因为认证失败的话会直接返回)即可登录。

现在原因已经比较清晰了,多线程口令猜测导致AAA认证服务器压力过大拒绝服务,然而本机交换机也因处理认证线程过多拒绝服务。导致最终无需认证登录交换机。

0x04 攻击方式

这种攻击方式也很简单,只需要向服务器发起大量请求认证的线程即可使AAA服务器拒绝服务,导致无需认证登录交换机。

0x05 缓解方法

要防止这种情况发生只需要改成如下语句即可。

aaa authentication login default group tacacs+ local

意思就是,在AAA认证无法完成的情况下,使用交换机本地认证,而不是不认证直接返回命令行。

0x06 题外话

在搜索这个问题的时候在一个cisco工程实施人员的论坛中看到这样一段话,“老司机”在给新手传授“经验”

aaa authentication login default group tacacs+ line none 这句话的意思是先使用 tacacs+认证;如果失败,则使用line认证,如果还失败,就不需要认证,这就相当于是AAA的一个后门,怕在AAA配置中把自己锁在里面出不来了,一般配AAA前先做后门,然后在配AAA。这个是实际工程中常见的一个后门,记住,做AAA一定要有后门,不然把自己锁里面就麻烦了!

0x07 Refer

http://www.vuln.cn/7043 http://edwinzw.blog.sohu.com/67531824.html http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Seven/Home/Catalog/201309/797633_97665_0.htm

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员与猫

JSON Patch

34410
来自专栏云加头条

视频协议学习:推流拉流都擅长的 RTMP

rtmp复杂吗?比hls、HTTP-FLV复杂多了。那么他为什么复杂呢,是不是仅仅因为HTTP我们经常见到,而rtmp不常接触?接下来简单介绍下rtmp的基本情...

2.3K10
来自专栏ppjun专栏

Android十八章:Android Studio打包jar文件

通常我们AndroidStudio项目中里面包括了一个library,在library对应的build/intermediates/bundles/releas...

39020
来自专栏黑泽君的专栏

网络通信的三要素

75950
来自专栏Seebug漏洞平台

披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞

原文:https://foxglovesecurity.com/2017/11/20/a-sheep-in-wolfs-clothing-finding-rce...

12530
来自专栏Seebug漏洞平台

披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞

原文:《A Sheep in Wolf’s Clothing – Finding RCE in HP’s Printer Fleet》

41080
来自专栏自动化测试实战

看到就是赚到!Selenium完整框架——告别2017

39390
来自专栏Theo Tsao

Ionic3学习笔记(十三)HttpClient 实现 HTTP 请求以及踩过的一些坑

当然是基于这篇古老的文章啦 ==> http://www.jianshu.com/p/9855610eb1d4 因为是2015年的文章,已经时隔2年多,很难确保...

60610
来自专栏蓝天

C/C++编程可用的Linux自带工具

GNU Binary Utilities或binutils是一整套的编程语言工具程序,用来处理许多格式的目标文件。当前的版本原本由在Cygnus Soluti...

15020
来自专栏安富莱嵌入式技术分享

【安富莱原创开源应用第2期】基于RL-USB和RL-FlashFS的完整NAND解决方案,稳定好用,可放心用于产品批量

说明: 0. NAND Flash这块经常有人咨询,这里发布一个完整的解决方案,支持擦写均衡,坏块管理,ECC和掉电保护。         早期的时候我们是用的...

79340

扫码关注云+社区

领取腾讯云代金券