登录
首页 >  Golang >  Go问答

在 Golang 中从哪里获取 Radius MSCHAPv2 的密码?

来源:stackoverflow

时间:2024-04-10 10:36:36 289浏览 收藏

大家好,今天本人给大家带来文章《在 Golang 中从哪里获取 Radius MSCHAPv2 的密码?》,文中内容主要涉及到,如果你对Golang方面的知识点感兴趣,那就请各位朋友继续看下去吧~希望能真正帮到你们,谢谢!

问题内容

我无法弄清楚如何编辑此 radius mschapv2 示例并从 radius 客户端获取密码。我使用的 go 库是 https://github.com/layeh/radius。

mschapv2 是否发送用户名和密码?如何从客户端获取到服务器的密码?

package microsoft

import (
    "log"
    "reflect"

    "layeh.com/radius"
    "layeh.com/radius/rfc2759"
    "layeh.com/radius/rfc2865"
    "layeh.com/radius/rfc2868"
    "layeh.com/radius/rfc2869"
    "layeh.com/radius/rfc3079"
)

const (
    radiussecret = "secret"
)

func runradiusserver() {
    handler := func(w radius.responsewriter, r *radius.request) {
        username := rfc2865.username_getstring(r.packet)
        challenge := mschapchallenge_get(r.packet)
        response := mschap2response_get(r.packet)

        // todo: look up user in local database.
        // the password must be stored in the clear for chap mechanisms to work.
        // in theory, it would be possible to use a password hashed with md4 as
        // all the functions in mschapv2 use the md4 hash of the password anyway,
        // but given that md4 is so vulerable that breaking a hash is almost as
        // fast as computing it, it's just not worth it.
        password := "password-from-database"

        if len(challenge) == 16 && len(response) == 50 {
            // see rfc2548 - 2.3.2. ms-chap2-response
            ident := response[0]
            peerchallenge := response[2:18]
            peerresponse := response[26:50]
            ntresponse, err := rfc2759.generatentresponse(challenge, peerchallenge, username, password)
            if err != nil {
                log.printf("cannot generate ntresponse for %s: %v", username, err)
                w.write(r.response(radius.codeaccessreject))
                return
            }

            if reflect.deepequal(ntresponse, peerresponse) {
                responsepacket := r.response(radius.codeaccessaccept)

                recvkey, err := rfc3079.makekey(ntresponse, password, false)
                if err != nil {
                    log.printf("cannot make recvkey for %s: %v", username, err)
                    w.write(r.response(radius.codeaccessreject))
                    return
                }

                sendkey, err := rfc3079.makekey(ntresponse, password, true)
                if err != nil {
                    log.printf("cannot make sendkey for %s: %v", username, err)
                    w.write(r.response(radius.codeaccessreject))
                    return
                }

                authenticatorresponse, err := rfc2759.generateauthenticatorresponse(challenge, peerchallenge, ntresponse, username, password)
                if err != nil {
                    log.printf("cannot generate authenticator response for %s: %v", username, err)
                    w.write(r.response(radius.codeaccessreject))
                    return
                }

                success := make([]byte, 43)
                success[0] = ident
                copy(success[1:], authenticatorresponse)

                rfc2869.acctinteriminterval_add(responsepacket, rfc2869.acctinteriminterval(3600))
                rfc2868.tunneltype_add(responsepacket, 0, rfc2868.tunneltype_value_l2tp)
                rfc2868.tunnelmediumtype_add(responsepacket, 0, rfc2868.tunnelmediumtype_value_ipv4)
                mschap2success_add(responsepacket, []byte(success))
                msmpperecvkey_add(responsepacket, recvkey)
                msmppesendkey_add(responsepacket, sendkey)
                msmppeencryptionpolicy_add(responsepacket, msmppeencryptionpolicy_value_encryptionallowed)
                msmppeencryptiontypes_add(responsepacket, msmppeencryptiontypes_value_rc440or128bitallowed)

                log.printf("access granted to %s", username)
                w.write(responsepacket)
                return
            }
        }

        log.printf("access denied for %s", username)
        w.write(r.response(radius.codeaccessreject))
    }

    server := radius.packetserver{
        handler:      radius.handlerfunc(handler),
        secretsource: radius.staticsecretsource([]byte(radiussecret)),
    }

    log.printf("starting radius server on :1812")
    if err := server.listenandserve(); err != nil {
        log.fatal(err)
    }
}

我编辑了函数的顶部:

username := rfc2865.UserName_GetString(r.Packet)
password := rfc2865.UserPassword_GetString(r.Packet)
log.Printf("bytes %+v", r.Get(1), string(r.Get(1)))
log.Printf("bytes %+v", r.Get(2), string(r.Get(2)))
log.Printf("u/p %v, %v\n", username, password)

用户名正确。密码为空。 1 是用户名。我无法对 2 进行排序,因为它不会将字节转换为字符串。

这里有一个类似的问题,但不是 go 特定的问题,也没有正确回答。谢谢!


解决方案


这不是我特别熟悉的机制,但我的期望是 CHAP 协议不会通过线路发送密码,因此您无法从客户端获取密码。相反,您生成一个预期的响应,知道客户端应该使用的密码,并与您从客户端获得的响应进行比较 - 如果它们匹配,则使用相同的秘密密码来生成两个响应,一切都很好,否则就会不匹配某处,但您不授予访问权限。

在 MSCHAPv2 中,客户端发送用户密码哈希。无法访问明文密码。如果您需要进行身份验证 - 您需要从用户身份存储中获取密码,以相同的方式对其进行哈希处理并比较两个哈希值 - 您的哈希值和从客户端获得的哈希值。

详细信息,客户端发送:

  • MSCHAP-Challenge 包含 16 字节挑战
  • MSCHAP-响应包含:
    • 16 字节客户端挑战
    • 保留 8 字节
    • 24 字节 NT 响应 = DesEncrypt( SHA1( 客户端质询 , 服务器质询 , 用户名 ) , MD4Hash(密码) )
    • 1 字节标志“使用 NT 质询响应或 LAN 质询响应”

服务器从 ID 存储中获取 MSCHAP-Challenge、客户端质询和用户密码,并计算 NT-响应。如果等于收到 – 服务器发送访问接受,否则访问拒绝

到这里,我们也就讲完了《在 Golang 中从哪里获取 Radius MSCHAPv2 的密码?》的内容了。个人认为,基础知识的学习和巩固,是为了更好的将其运用到项目中,欢迎关注golang学习网公众号,带你了解更多关于的知识点!

声明:本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>