当前位置：首页 > 文章列表 > Golang > Go问答 > 在 Golang 中从哪里获取 Radius MSCHAPv2 的密码？

在 Golang 中从哪里获取 Radius MSCHAPv2 的密码？

来源：stackoverflow 2024-04-10 10:36:36 0浏览收藏

大家好，今天本人给大家带来文章《在 Golang 中从哪里获取 Radius MSCHAPv2 的密码？》，文中内容主要涉及到，如果你对Golang方面的知识点感兴趣，那就请各位朋友继续看下去吧~希望能真正帮到你们，谢谢！

问题内容

我无法弄清楚如何编辑此 radius mschapv2 示例并从 radius 客户端获取密码。我使用的 go 库是 https://github.com/layeh/radius。

mschapv2 是否发送用户名和密码？如何从客户端获取到服务器的密码？

package microsoft

import (
    "log"
    "reflect"

    "layeh.com/radius"
    "layeh.com/radius/rfc2759"
    "layeh.com/radius/rfc2865"
    "layeh.com/radius/rfc2868"
    "layeh.com/radius/rfc2869"
    "layeh.com/radius/rfc3079"
)

const (
    radiussecret = "secret"
)

func runradiusserver() {
    handler := func(w radius.responsewriter, r *radius.request) {
        username := rfc2865.username_getstring(r.packet)
        challenge := mschapchallenge_get(r.packet)
        response := mschap2response_get(r.packet)

        // todo: look up user in local database.
        // the password must be stored in the clear for chap mechanisms to work.
        // in theory, it would be possible to use a password hashed with md4 as
        // all the functions in mschapv2 use the md4 hash of the password anyway,
        // but given that md4 is so vulerable that breaking a hash is almost as
        // fast as computing it, it's just not worth it.
        password := "password-from-database"

        if len(challenge) == 16 && len(response) == 50 {
            // see rfc2548 - 2.3.2. ms-chap2-response
            ident := response[0]
            peerchallenge := response[2:18]
            peerresponse := response[26:50]
            ntresponse, err := rfc2759.generatentresponse(challenge, peerchallenge, username, password)
            if err != nil {
                log.printf("cannot generate ntresponse for %s: %v", username, err)
                w.write(r.response(radius.codeaccessreject))
                return
            }

            if reflect.deepequal(ntresponse, peerresponse) {
                responsepacket := r.response(radius.codeaccessaccept)

                recvkey, err := rfc3079.makekey(ntresponse, password, false)
                if err != nil {
                    log.printf("cannot make recvkey for %s: %v", username, err)
                    w.write(r.response(radius.codeaccessreject))
                    return
                }

                sendkey, err := rfc3079.makekey(ntresponse, password, true)
                if err != nil {
                    log.printf("cannot make sendkey for %s: %v", username, err)
                    w.write(r.response(radius.codeaccessreject))
                    return
                }

                authenticatorresponse, err := rfc2759.generateauthenticatorresponse(challenge, peerchallenge, ntresponse, username, password)
                if err != nil {
                    log.printf("cannot generate authenticator response for %s: %v", username, err)
                    w.write(r.response(radius.codeaccessreject))
                    return
                }

                success := make([]byte, 43)
                success[0] = ident
                copy(success[1:], authenticatorresponse)

                rfc2869.acctinteriminterval_add(responsepacket, rfc2869.acctinteriminterval(3600))
                rfc2868.tunneltype_add(responsepacket, 0, rfc2868.tunneltype_value_l2tp)
                rfc2868.tunnelmediumtype_add(responsepacket, 0, rfc2868.tunnelmediumtype_value_ipv4)
                mschap2success_add(responsepacket, []byte(success))
                msmpperecvkey_add(responsepacket, recvkey)
                msmppesendkey_add(responsepacket, sendkey)
                msmppeencryptionpolicy_add(responsepacket, msmppeencryptionpolicy_value_encryptionallowed)
                msmppeencryptiontypes_add(responsepacket, msmppeencryptiontypes_value_rc440or128bitallowed)

                log.printf("access granted to %s", username)
                w.write(responsepacket)
                return
            }
        }

        log.printf("access denied for %s", username)
        w.write(r.response(radius.codeaccessreject))
    }

    server := radius.packetserver{
        handler:      radius.handlerfunc(handler),
        secretsource: radius.staticsecretsource([]byte(radiussecret)),
    }

    log.printf("starting radius server on :1812")
    if err := server.listenandserve(); err != nil {
        log.fatal(err)
    }
}

我编辑了函数的顶部：

username := rfc2865.UserName_GetString(r.Packet)
password := rfc2865.UserPassword_GetString(r.Packet)
log.Printf("bytes %+v", r.Get(1), string(r.Get(1)))
log.Printf("bytes %+v", r.Get(2), string(r.Get(2)))
log.Printf("u/p %v, %v\n", username, password)

用户名正确。密码为空。 1 是用户名。我无法对 2 进行排序，因为它不会将字节转换为字符串。

这里有一个类似的问题，但不是 go 特定的问题，也没有正确回答。谢谢！

解决方案

这不是我特别熟悉的机制，但我的期望是 CHAP 协议不会通过线路发送密码，因此您无法从客户端获取密码。相反，您生成一个预期的响应，知道客户端应该使用的密码，并与您从客户端获得的响应进行比较 - 如果它们匹配，则使用相同的秘密密码来生成两个响应，一切都很好，否则就会不匹配某处，但您不授予访问权限。

在 MSCHAPv2 中，客户端发送用户密码哈希。无法访问明文密码。如果您需要进行身份验证 - 您需要从用户身份存储中获取密码，以相同的方式对其进行哈希处理并比较两个哈希值 - 您的哈希值和从客户端获得的哈希值。

详细信息，客户端发送：

MSCHAP-Challenge 包含 16 字节挑战
MSCHAP-响应包含：
- 16 字节客户端挑战
- 保留 8 字节
- 24 字节 NT 响应 = DesEncrypt( SHA1( 客户端质询 , 服务器质询 , 用户名 ) , MD4Hash(密码) )
- 1 字节标志“使用 NT 质询响应或 LAN 质询响应”

服务器从 ID 存储中获取 MSCHAP-Challenge、客户端质询和用户密码，并计算 NT-响应。如果等于收到 – 服务器发送访问接受，否则访问拒绝

到这里，我们也就讲完了《在 Golang 中从哪里获取 Radius MSCHAPv2 的密码？》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！

版本声明

本文转载于：stackoverflow 如有侵犯，请联系study_golang@163.com删除