Lateral VLAN Segmentation Bypass

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Jeśli dostęp do przełącznika jest bezpośredni, segmentacja VLAN może być obejściem. Obejmuje to ponowne skonfigurowanie podłączonego portu w trybie trunk, utworzenie wirtualnych interfejsów dla docelowych VLAN-ów oraz ustawienie adresów IP, zarówno dynamicznie (DHCP), jak i statycznie, w zależności od scenariusza (po więcej szczegółów sprawdź https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9).

Początkowo konieczne jest zidentyfikowanie konkretnego podłączonego portu. Zazwyczaj można to osiągnąć za pomocą komunikatów CDP lub poprzez wyszukiwanie portu za pomocą maski include.

Jeśli CDP nie działa, identyfikację portu można spróbować przeprowadzić, wyszukując adres MAC:

SW1(config)# show mac address-table | include 0050.0000.0500

Przed przełączeniem na tryb trunk, należy sporządzić listę istniejących VLAN-ów oraz określić ich identyfikatory. Te identyfikatory są następnie przypisywane do interfejsu, co umożliwia dostęp do różnych VLAN-ów przez trunk. Port w użyciu, na przykład, jest powiązany z VLAN 10.

SW1# show vlan brief

Przejście w tryb trunk wymaga wejścia w tryb konfiguracji interfejsu:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

Przełączenie na tryb trunk spowoduje tymczasowe zakłócenie łączności, ale można to później przywrócić.

Następnie tworzone są wirtualne interfejsy, przypisywane są identyfikatory VLAN i aktywowane:

sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

Następnie żądanie adresu jest wysyłane za pośrednictwem DHCP. Alternatywnie, w przypadkach, gdy DHCP nie jest możliwe, adresy można skonfigurować ręcznie:

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

Przykład ręcznego ustawiania statycznego adresu IP na interfejsie (VLAN 10):

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0

Łączność jest testowana poprzez inicjowanie żądań ICMP do domyślnych bramek dla VLAN-ów 10, 20, 50 i 60.

Ostatecznie, ten proces umożliwia obejście segmentacji VLAN, co ułatwia nieograniczony dostęp do każdej sieci VLAN i przygotowuje grunt pod kolejne działania.

References

https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousIDS and IPS Evasion NextNetwork Protocols Explained (ESP)

Last updated 4 months ago