maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/3299-pentesting-saprouter.m

Browse Source
This commit is contained in:
Translator 2025-08-14 06:16:02 +00:00
parent a65c28108b
commit 9a51a30f9e
1 changed files with 69 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

75
src/network-services-pentesting/3299-pentesting-saprouter.md
View File

@ -1,3 +1,5 @@
# # 3299/tcp - Pentesting SAProuter
{{#include ../banners/hacktricks-training.md}}
```text
PORT STATE SERVICE VERSION
@ -5,9 +7,9 @@ PORT STATE SERVICE VERSION
```
Dit is 'n opsomming van die pos van [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/)
## Verstaan SAProuter Penetrasie met Metasploit
## Verstaan van SAProuter Penetrasie met Metasploit
SAProuter dien as 'n omgekeerde proxy vir SAP-stelsels, hoofsaaklik om toegang tussen die internet en interne SAP-netwerke te beheer. Dit word algemeen aan die internet blootgestel deur TCP-poort 3299 deur organisatoriese vuurmure toe te laat. Hierdie opstelling maak SAProuter 'n aantreklike teiken vir penetrasietoetsing omdat dit as 'n toegangspunt na hoëwaarde interne netwerke kan dien.
SAProuter funksioneer as 'n omgekeerde proxy vir SAP-stelsels, hoofsaaklik om toegang tussen die internet en interne SAP-netwerke te beheer. Dit word algemeen aan die internet blootgestel deur TCP-poort 3299 deur organisatoriese vuurmure toe te laat. Hierdie opstelling maak SAProuter 'n aantreklike teiken vir pentesting omdat dit as 'n toegangspunt na hoëwaarde interne netwerke kan dien.
**Skandering en Inligting Versameling**
@ -25,7 +27,7 @@ msf auxiliary(sap_router_info_request) > run
```
**Opname van Interne Dienste**
Met verkregen interne netwerkinsigte, word die **sap_router_portscanner** module gebruik om interne gasheers en dienste deur die SAProuter te ondersoek, wat 'n dieper begrip van interne netwerke en dienskonfigurasies moontlik maak.
Met verkregen insigte in die interne netwerk, word die **sap_router_portscanner** module gebruik om interne gasheers en dienste deur die SAProuter te ondersoek, wat 'n dieper begrip van interne netwerke en dienskonfigurasies moontlik maak.
```text
msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN
@ -34,7 +36,7 @@ Die buigsaamheid van hierdie module om spesifieke SAP-instanties en poorte te te
**Geavanceerde Enumerasie en ACL Kaartlegging**
Verder skandering kan onthul hoe Toegang Beheer Lyste (ACLs) op die SAProuter geconfigureer is, wat aandui watter verbindings toegelaat of geblokkeer word. Hierdie inligting is van kardinale belang om sekuriteitsbeleide en potensiële kwesbaarhede te verstaan.
Verder skandering kan onthul hoe Toegangsbeheerlisensies (ACLs) op die SAProuter geconfigureer is, wat aandui watter verbindings toegelaat of geblokkeer word. Hierdie inligting is van kardinale belang om sekuriteitsbeleide en potensiële kwesbaarhede te verstaan.
```text
msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
@ -53,13 +55,74 @@ msf auxiliary(sap_hostctrl_getcomputersystem) > run
```
**Gevolgtrekking**
Hierdie benadering beklemtoon die belangrikheid van veilige SAProuter-konfigurasies en lig die potensiaal uit om toegang tot interne netwerke te verkry deur teiken penetrasietoetsing. Om SAP-routers behoorlik te beveilig en hul rol in netwerksekuriteitsargitektuur te verstaan, is van kardinale belang om teen ongemagtigde toegang te beskerm.
Hierdie benadering beklemtoon die belangrikheid van veilige SAProuter-konfigurasies en lig die potensiaal uit om toegang tot interne netwerke te verkry deur teiken penetrasietoetsing. Dit is van kardinale belang om SAP-routers behoorlik te beveilig en hul rol in netwerkbeveiligingsargitektuur te verstaan om teen ongeoorloofde toegang te beskerm.
Vir meer gedetailleerde inligting oor Metasploit-modules en hul gebruik, besoek [Rapid7 se databasis](http://www.rapid7.com/db).
Vir meer gedetailleerde inligting oor Metasploit-modules en hul gebruik, besoek [Rapid7's database](http://www.rapid7.com/db).
---
## Onlangse Kwesbaarhede (2022-2025)
### CVE-2022-27668 Onbehoorlike Toegangsbeheer ➜ Afgeleë Administratiewe Opdraguitvoering
In Junie 2022 het SAP Sekuriteitsnota **3158375** vrygestel wat 'n kritieke fout (CVSS 9.8) in SAProuter (alle kerne ≥ 7.22) aanspreek. 'n Ongeoutentiseerde aanvaller kan permissiewe `saprouttab` inskrywings misbruik om **administrasie-pakkette** (bv. *shutdown*, *trace-level*, *connection-kill*) vanaf 'n afgeleë gasheer te stuur, selfs wanneer die router sonder die `-X` remote-admin opsie begin is.
Die probleem spruit voort uit die moontlikheid om 'n tonnel na die router se eie loopback-interface te bou deur die ongespesifiseerde adres **0.0.0.0** te teiken. Sodra die tonnel gevestig is, verkry die aanvaller plaaslike-gasheer bevoegdhede en kan enige admin-opdrag uitvoer.
Praktiese uitbuiting kan herhaal word met die **pysap** raamwerk:
```bash
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
```
**Geraakte weergawes**
* Stand-alone SAProuter 7.22 / 7.53
* Kernel 7.49, 7.77, 7.81, 7.857.88 (insluitend KRNL64NUC/UC)
**Regstelling / Versagting**
1. Pas die patch toe wat met SAP Nota **3158375** gelewer is.
2. Verwyder wildcard (`*`) teikens van `P` en `S` lyne in `saprouttab`.
3. Maak seker dat die router **sonder** die `-X` opsie begin word en **nie** direk aan die Internet blootgestel word nie.
---
## Opgedateerde Gereedskap & Truuks
* **pysap** aktief onderhou en bied `router_portfw.py`, `router_admin.py` & `router_trace.py` aan vir die opstel van pasgemaakte NI/Router pakkette, fuzzing ACLs of die outomatisering van die CVE-2022-27668 exploit.
* **Nmap** brei diensdetectie uit deur die pasgemaakte SAProuter-probe by te voeg:
```text
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
```
Kombineer met NSE-skripte of `--script=banner` om vinnig weergawes te identifiseer wat die banner string lek (`SAProuter <ver> op '<host>'`).
* **Metasploit** die bykomende modules hierbo werk steeds deur 'n SOCKS of NI-proxy wat met pysap geskep is, wat volle raamwerkintegrasie moontlik maak selfs wanneer die router direkte toegang blokkeer.
---
## Versterking & Opsporing Kontrolelys
* Filter poort **3299/TCP** op die perimeter-firewall laat verkeer slegs toe van vertroude SAP-ondersteuningsnetwerke.
* Hou SAProuter **volledig gepatch**; verifieer met `saprouter -v` en vergelyk teen die nuutste kernpatchvlak.
* Gebruik **strikte, gasheer-spesifieke** inskrywings in `saprouttab`; vermy `*` wildcards en weier `P`/`S` reëls wat teikens op willekeurige gashere of poorte.
* Begin die diens met **`-S <secudir>` + SNC** om versleuteling en wederkerige verifikasie af te dwing.
* Deaktiveer afstandsadministrasie (`-X`) en, indien moontlik, bind die luisteraar aan `127.0.0.1` terwyl 'n eksterne omgekeerde proxy vir vereiste verkeer gebruik word.
* Monitor die **dev_rout** log vir verdagte `ROUTER_ADM` pakkette of onverwagte `NI_ROUTE` versoeke na `0.0.0.0`.
---
## **Verwysings**
- [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/)
- [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/)
## Shodan