V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
horsley
V2EX  ›  分享创造

ocserv auth hacking

  •  
  •   horsley ·
    horsley · 2015-05-31 13:51:45 +08:00 · 4887 次点击
    这是一个创建于 3465 天前的主题,其中的信息可能已经有所发展或是发生改变。
    不知道其他跟我一样使用ocserv(anyconnect)的同学有没有这样一个疑惑
    在移动端anyconnect没办法保存密码,每次都需要手工输入
    而且用户名密码还要分两次提示输入

    研究了一下认证过程,目前写了一个小的hack:
    第一:hack认证表单,让用户名密码在一次提示中输入,并能正常认证使用
    第二:这是重点!anyconnect移动端是支持anyconnect这个scheme唤起并且传参,预填充用户名密码

    那么,我么可以把这个唤起的URL放到其他地方,例如说一个可以保存密码的,带有鉴权的web页面上。而且这个东西也可以把鉴权引出来做些别的东西,例如一次性密码什么的。

    由于mitm 所以存在内存拷贝次数加倍的问题。gist中只是展示了思路,后面再完善。

    6 条回复    2015-06-03 17:33:08 +08:00
    Leafove
        1
    Leafove  
       2015-05-31 13:57:58 +08:00
    要不用输入密码直接换成证书验证就可以了
    horsley
        2
    horsley  
    OP
       2015-05-31 14:30:34 +08:00 via Android
    @Leafove 手机加客户端证书好像又要设置锁屏密码什么的,而且网上教程都是自签的做法,我用的是正规证书不知道怎么弄
    rwzsycwan
        3
    rwzsycwan  
       2015-05-31 16:05:12 +08:00
    @horsley 自己签一个证书用来验证
    server-cert 与server-key 填正规证书,底下还有一个ca-cert 填自己签的ca,
    Yien
        4
    Yien  
       2015-05-31 18:11:06 +08:00
    @rwzsycwan 好像用了證書就不能用radius了是嗎?
    rwzsycwan
        5
    rwzsycwan  
       2015-05-31 18:56:16 +08:00
    @Yien 额 没研究过radius
    bao3
        6
    bao3  
       2015-06-03 17:33:08 +08:00
    这个hack就不要浪费时间了,直接换成CertAuth方式,不需要radius。另外,android需要强制锁屏密码的问题,其实是你倒入证书的姿势不对或者apk不对。客户端倒入p12证书,android系统不会要求你设置PIN或者密码的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   933 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 19:50 · PVG 03:50 · LAX 11:50 · JFK 14:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.