首頁猿問我在哪里獲得 Golang 的...

我在哪里獲得 Golang 的 Radius MSCHAPv2 中的密碼？

Go

RISEBY 2022-06-27 10:54:03

我無法弄清楚如何編輯此 Radius MSCHAPv2 示例并從 radius 客戶端獲取密碼。我正在使用的 go 庫是https://github.com/layeh/radius。MSCHAPv2 是否發(fā)送帶有密碼的用戶名？如何從客戶端獲取密碼到服務(wù)器？package microsoftimport ( "log" "reflect" "layeh.com/radius" "layeh.com/radius/rfc2759" "layeh.com/radius/rfc2865" "layeh.com/radius/rfc2868" "layeh.com/radius/rfc2869" "layeh.com/radius/rfc3079")const ( radiusSecret = "secret")func RunRadiusServer() { handler := func(w radius.ResponseWriter, r *radius.Request) { username := rfc2865.UserName_GetString(r.Packet) challenge := MSCHAPChallenge_Get(r.Packet) response := MSCHAP2Response_Get(r.Packet) // TODO: look up user in local database. // The password must be stored in the clear for CHAP mechanisms to work. // In theory, it would be possible to use a password hashed with MD4 as // all the functions in MSCHAPv2 use the MD4 hash of the password anyway, // but given that MD4 is so vulerable that breaking a hash is almost as // fast as computing it, it's just not worth it. password := "password-from-database" if len(challenge) == 16 && len(response) == 50 { // See rfc2548 - 2.3.2. MS-CHAP2-Response ident := response[0] peerChallenge := response[2:18] peerResponse := response[26:50] ntResponse, err := rfc2759.GenerateNTResponse(challenge, peerChallenge, username, password) if err != nil { log.Printf("Cannot generate ntResponse for %s: %v", username, err) w.Write(r.Response(radius.CodeAccessReject)) return }我編輯了函數(shù)的頂部：username := rfc2865.UserName_GetString(r.Packet)password := rfc2865.UserPassword_GetString(r.Packet)log.Printf("bytes %+v", r.Get(1), string(r.Get(1)))log.Printf("bytes %+v", r.Get(2), string(r.Get(2)))log.Printf("u/p %v, %v\n", username, password)用戶名正確。密碼為空。1 是用戶名。我無法對 2 進(jìn)行排序，因為它不會將字節(jié)轉(zhuǎn)換為字符串。這里有一個類似但不是 Go 特定的問題，也沒有正確回答。謝謝！

查看完整描述

2 回答

慕妹3242003

TA貢獻(xiàn)1824條經(jīng)驗獲得超6個贊

這不是我特別熟悉的機(jī)制，但我的期望是 CHAP 協(xié)議不會通過網(wǎng)絡(luò)發(fā)送密碼，因此您無法從客戶端獲取密碼。相反，您生成一個預(yù)期的響應(yīng)，知道客戶端應(yīng)該使用的密碼并與您從客戶端獲得的響應(yīng)進(jìn)行比較 - 如果它們匹配，則使用相同的秘密密碼生成兩個響應(yīng)，一切都很好，否則不匹配某處，您不授予訪問權(quán)限。

反對回復(fù) 2022-06-27

絕地?zé)o雙

TA貢獻(xiàn)1946條經(jīng)驗獲得超4個贊

在 MSCHAPv2 中，客戶端發(fā)送用戶密碼哈希。無法訪問明文密碼。如果您需要進(jìn)行身份驗證-您需要從用戶身份存儲中獲取密碼，以相同的方式對其進(jìn)行哈希處理并比較兩個哈希值-您的哈希值和從客戶端獲得的哈希值。

詳細(xì)來說，客戶端發(fā)送：

MSCHAP-Challenge 包含 16 字節(jié)挑戰(zhàn)
MSCHAP 響應(yīng)包含：

16 字節(jié)客戶端挑戰(zhàn)
8 字節(jié)保留
24 字節(jié) NT 響應(yīng) = DesEncrypt( SHA1( 客戶端質(zhì)詢 , 服務(wù)器質(zhì)詢 , 用戶名 ) , MD4Hash(密碼) )
1 字節(jié)標(biāo)志“使用 NT 質(zhì)詢響應(yīng)或 LAN 質(zhì)詢響應(yīng)”

服務(wù)器從 ID 存儲中獲取 MSCHAP-Challenge、客戶端挑戰(zhàn)和用戶密碼并計算 NT-response。如果等于收到 - 服務(wù)器發(fā)送訪問接受，否則訪問拒絕

反對回復(fù) 2022-06-27