OpenConnect auth creditials collector

Nov 17, 2021 1 min read

OCSERV AUTH CREDS COLLECTOR V1.0

Зачем

Изначально было написано чтобы мониторить какие данные вводятся в интерфейс ханипота в виде OpenConnect server.

Нужно было как то расшифровывать TLS трафик.

Установка

sudo nano /etc/ocserv/ocserv.conf
tls-priorities="NONE:+VERS-TLS-ALL:+MAC-ALL:+RSA:+AES-128-CBC:+SIGN-ALL:+COMP-NULL". Это нужно для того, чтобы принудительно установить cipher-suite при TLS хендшейке в TLS_RSA_WITH_AES_128_CBC_SHA.
sudo apt install tshark
pip3 install -r requirements.txt
EZ

Запуск

Общий вид:
python3 ocacc.py -i eth0 -I IP_ADDR -k KEYFILE где

IP_ADDR – Адрес сервера для фильтров TShark (Только входящие пакеты)
KEYFILE – Закрытый ключ ocserv (server-key.pem by default). Желательно создать символьную ссылку до него и использовать как -k server-key.pem

Возможен запуск в режиме демона.

Подробнее:
python3 ocacc.py --help

TODO:

Базовый функционал
Извлекать IP из имени интерфейса.
Переделать логгирование.
Переделать “разбор” пакета ибо это не годится.
Привести out-файл к стандартизированному виду.
Очистка кода.
Функция для демона: варка кофе с утра.

GitHub

View Github

Authentication

John was the first writer to have joined pythonawesome.com. He has since then inculcated very effective writing and reviewing culture at pythonawesome which rivals have found impossible to imitate.