maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/3299-pentesting-saprouter.m

Browse Source
This commit is contained in:
Translator 2025-08-14 06:18:45 +00:00
parent f0978e8c85
commit e6ef996d60
1 changed files with 70 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

77
src/network-services-pentesting/3299-pentesting-saprouter.md
View File

@ -1,3 +1,5 @@
# # 3299/tcp - Pentesting SAProuter
{{#include ../banners/hacktricks-training.md}} {{#include ../banners/hacktricks-training.md}}
```text ```text
PORT STATE SERVICE VERSION PORT STATE SERVICE VERSION
@ -11,26 +13,26 @@ PORT STATE SERVICE VERSION
**Σάρωση και Συλλογή Πληροφοριών** **Σάρωση και Συλλογή Πληροφοριών**
Αρχικά, πραγματοποιείται μια σάρωση για να προσδιοριστεί αν ένας SAP router λειτουργεί σε μια συγκεκριμένη IP χρησιμοποιώντας το **sap_service_discovery** module. Αυτό το βήμα είναι κρίσιμο για την καθ establishment της παρουσίας ενός SAP router και της ανοιχτής του θύρας. Αρχικά, πραγματοποιείται μια σάρωση για να προσδιοριστεί αν εκτελείται ένας SAP router σε μια συγκεκριμένη IP χρησιμοποιώντας το **sap_service_discovery** module. Αυτό το βήμα είναι κρίσιμο για την καθ establishment της παρουσίας ενός SAP router και της ανοιχτής του θύρας.
```text ```text
msf> use auxiliary/scanner/sap/sap_service_discovery msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101 msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run msf auxiliary(sap_service_discovery) > run
``` ```
Ακολουθώντας την ανακάλυψη, διεξάγεται περαιτέρω έρευνα στη διαμόρφωση του SAP router με το **sap_router_info_request** module για να αποκαλυφθούν πιθανώς λεπτομέρειες του εσωτερικού δικτύου. Ακολουθώντας την ανακάλυψη, διεξάγεται περαιτέρω έρευνα στη διαμόρφωση του SAP router με το **sap_router_info_request** module για να αποκαλυφθούν ενδεχομένως λεπτομέρειες του εσωτερικού δικτύου.
```text ```text
msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101 msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run msf auxiliary(sap_router_info_request) > run
``` ```
**Καταμέτρηση Εσωτερικών Υπηρεσιών** **Αναγνώριση Εσωτερικών Υπηρεσιών**
Με τις αποκτηθείσες πληροφορίες από το εσωτερικό δίκτυο, το **sap_router_portscanner** module χρησιμοποιείται για να ερευνήσει εσωτερικούς υπολογιστές και υπηρεσίες μέσω του SAProuter, επιτρέποντας μια πιο βαθιά κατανόηση των εσωτερικών δικτύων και των ρυθμίσεων υπηρεσιών. Με τις αποκτηθείσες πληροφορίες από το εσωτερικό δίκτυο, το **sap_router_portscanner** module χρησιμοποιείται για να ερευνήσει εσωτερικούς υπολογιστές και υπηρεσίες μέσω του SAProuter, επιτρέποντας μια πιο βαθιά κατανόηση των εσωτερικών δικτύων και των ρυθμίσεων υπηρεσιών.
```text ```text
msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50 msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN msf auxiliary(sap_router_portscanner) > set PORTS 32NN
``` ```
Η ευελιξία αυτού του module στοχεύει σε συγκεκριμένες περιπτώσεις SAP και θύρες, καθιστώντας το ένα αποτελεσματικό εργαλείο για λεπτομερή εξερεύνηση εσωτερικών δικτύων. Η ευελιξία αυτού του module στο να στοχεύει συγκεκριμένες περιπτώσεις SAP και θύρες το καθιστά ένα αποτελεσματικό εργαλείο για λεπτομερή εξερεύνηση εσωτερικών δικτύων.
**Προχωρημένη Αρίθμηση και Χαρτογράφηση ACL** **Προχωρημένη Αρίθμηση και Χαρτογράφηση ACL**
@ -41,7 +43,7 @@ msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
``` ```
**Τυφλή Αρίθμηση Εσωτερικών Φιλοξενουμένων** **Τυφλή Αρίθμηση Εσωτερικών Φιλοξενουμένων**
Σε σενάρια όπου οι άμεσες πληροφορίες από το SAProuter είναι περιορισμένες, μπορούν να εφαρμοστούν τεχνικές όπως η τυφλή αρίθμηση. Αυτή η προσέγγιση προσπαθεί να μαντέψει και να επαληθεύσει την ύπαρξη εσωτερικών ονομάτων φιλοξενουμένων, αποκαλύπτοντας πιθανούς στόχους χωρίς άμεσες διευθύνσεις IP. Σε σενάρια όπου οι άμεσες πληροφορίες από τον SAProuter είναι περιορισμένες, μπορούν να εφαρμοστούν τεχνικές όπως η τυφλή αρίθμηση. Αυτή η προσέγγιση προσπαθεί να μαντέψει και να επαληθεύσει την ύπαρξη εσωτερικών ονομάτων φιλοξενουμένων, αποκαλύπτοντας πιθανούς στόχους χωρίς άμεσες διευθύνσεις IP.
**Εκμετάλλευση Πληροφοριών για Δοκιμές Διείσδυσης** **Εκμετάλλευση Πληροφοριών για Δοκιμές Διείσδυσης**
@ -53,13 +55,74 @@ msf auxiliary(sap_hostctrl_getcomputersystem) > run
``` ```
**Συμπέρασμα** **Συμπέρασμα**
Αυτή η προσέγγιση υπογραμμίζει τη σημασία των ασφαλών ρυθμίσεων SAProuter και επισημαίνει την πιθανότητα πρόσβασης σε εσωτερικά δίκτυα μέσω στοχευμένης pentesting. Η σωστή ασφάλιση των SAP routers και η κατανόηση του ρόλου τους στην αρχιτεκτονική ασφάλειας δικτύου είναι κρίσιμη για την προστασία από μη εξουσιοδοτημένη πρόσβαση. Αυτή η προσέγγιση υπογραμμίζει τη σημασία των ασφαλών ρυθμίσεων SAProuter και επισημαίνει την πιθανότητα πρόσβασης σε εσωτερικά δίκτυα μέσω στοχευμένου pentesting. Η σωστή ασφάλιση των SAP routers και η κατανόηση του ρόλου τους στην αρχιτεκτονική ασφάλειας δικτύου είναι κρίσιμη για την προστασία από μη εξουσιοδοτημένη πρόσβαση.
Για περισσότερες λεπτομέρειες σχετικά με τα Metasploit modules και τη χρήση τους, επισκεφθείτε τη [βάση δεδομένων της Rapid7](http://www.rapid7.com/db). Για περισσότερες λεπτομέρειες σχετικά με τα modules του Metasploit και τη χρήση τους, επισκεφθείτε τη [βάση δεδομένων της Rapid7](http://www.rapid7.com/db).
---
## Πρόσφατες Ευπάθειες (2022-2025)
### CVE-2022-27668 Ακατάλληλος Έλεγχος Πρόσβασης ➜ Εκτέλεση Απομακρυσμένης Διοικητικής Εντολής
Τον Ιούνιο του 2022, η SAP δημοσίευσε την Σημείωση Ασφαλείας **3158375** που αντιμετωπίζει μια κρίσιμη αδυναμία (CVSS 9.8) στο SAProuter (όλοι οι πυρήνες ≥ 7.22). Ένας μη αυθεντικοποιημένος επιτιθέμενος μπορεί να εκμεταλλευτεί τις επιτρεπτικές καταχωρίσεις `saprouttab` για να **στείλει πακέτα διαχείρισης** (π.χ. *shutdown*, *trace-level*, *connection-kill*) από έναν απομακρυσμένο υπολογιστή, ακόμη και όταν ο δρομολογητής έχει ξεκινήσει χωρίς την επιλογή `-X` remote-admin.
Το πρόβλημα προκύπτει από τη δυνατότητα δημιουργίας ενός τούνελ στη δική του διεπαφή loopback του δρομολογητή στοχεύοντας τη μη καθορισμένη διεύθυνση **0.0.0.0**. Μόλις το τούνελ έχει δημιουργηθεί, ο επιτιθέμενος αποκτά δικαιώματα τοπικού υπολογιστή και μπορεί να εκτελέσει οποιαδήποτε εντολή διαχείρισης.
Η πρακτική εκμετάλλευση μπορεί να αναπαραχθεί με το πλαίσιο **pysap**:
```bash
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
```
**Επηρεαζόμενες εκδόσεις**
* Αυτόνομος SAProuter 7.22 / 7.53
* Kernel 7.49, 7.77, 7.81, 7.857.88 (συμπεριλαμβανομένου του KRNL64NUC/UC)
**Διόρθωση / Μετριασμός**
1. Εφαρμόστε το patch που παραδόθηκε με το SAP Note **3158375**.
2. Αφαιρέστε τους στόχους wildcard (`*`) από τις γραμμές `P` και `S` στο `saprouttab`.
3. Βεβαιωθείτε ότι ο δρομολογητής ξεκινά **χωρίς** την επιλογή `-X` και **δεν** είναι άμεσα εκτεθειμένος στο Διαδίκτυο.
---
## Ενημερωμένα Εργαλεία & Τεχνικές
* **pysap** ενεργά συντηρούμενο και παρέχει `router_portfw.py`, `router_admin.py` & `router_trace.py` για τη δημιουργία προσαρμοσμένων πακέτων NI/Router, fuzzing ACLs ή αυτοματοποίηση της εκμετάλλευσης CVE-2022-27668.
* **Nmap** επεκτείνετε την ανίχνευση υπηρεσιών προσθέτοντας την προσαρμοσμένη πρόβλεψη SAProuter:
```text
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
```
Συνδυάστε με NSE scripts ή `--script=banner` για γρήγορη αναγνώριση εκδόσεων που διαρρέουν τη συμβολοσειρά banner (`SAProuter <ver> on '<host>'`).
* **Metasploit** τα βοηθητικά modules που εμφανίζονται παραπάνω εξακολουθούν να λειτουργούν μέσω SOCKS ή NI proxy που δημιουργείται με pysap, επιτρέποντας πλήρη ενσωμάτωση του framework ακόμη και όταν ο δρομολογητής μπλοκάρει την άμεση πρόσβαση.
---
## Λίστα Ελέγχου Σκληροποίησης & Ανίχνευσης
* Φιλτράρετε την θύρα **3299/TCP** στο τείχος προστασίας περιφέρειας επιτρέψτε την κυκλοφορία μόνο από αξιόπιστα δίκτυα υποστήριξης SAP.
* Διατηρήστε τον SAProuter **εντελώς ενημερωμένο**; επαληθεύστε με `saprouter -v` και συγκρίνετε με το τελευταίο επίπεδο patch του kernel.
* Χρησιμοποιήστε **αυστηρές, ειδικές για τον υπολογιστή** καταχωρίσεις στο `saprouttab`; αποφύγετε τα wildcards `*` και απορρίψτε τους κανόνες `P`/`S` που στοχεύουν αυθαίρετους υπολογιστές ή θύρες.
* Ξεκινήστε την υπηρεσία με **`-S <secudir>` + SNC** για να επιβάλετε κρυπτογράφηση και αμοιβαία πιστοποίηση.
* Απενεργοποιήστε τη απομακρυσμένη διαχείριση (`-X`) και, αν είναι δυνατόν, συνδέστε τον listener στο `127.0.0.1` ενώ χρησιμοποιείτε έναν εξωτερικό αντίστροφο proxy για την απαιτούμενη κυκλοφορία.
* Παρακολουθήστε το **dev_rout** log για ύποπτα πακέτα `ROUTER_ADM` ή απροσδόκητα αιτήματα `NI_ROUTE` προς `0.0.0.0`.
---
## **Αναφορές** ## **Αναφορές**
- [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/) - [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/)
- [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/)
## Shodan ## Shodan