```text PORT STATE SERVICE VERSION 3299/tcp open saprouter? ``` ## Verständnis der SAProuter-Penetration mit Metasploit

SAProuter fungiert als Reverse-Proxy für SAP-Systeme, hauptsächlich um den Zugriff zwischen dem Internet und internen SAP-Netzwerken zu kontrollieren. Es wird häufig über TCP-Port 3299 durch organisatorische Firewalls dem Internet zugänglich gemacht. Diese Konfiguration macht SAProuter zu einem attraktiven Ziel für Penetrationstests, da es als Gateway zu hochwertigen internen Netzwerken dienen könnte.

Scannen und Informationsbeschaffung

Zunächst wird ein Scan durchgeführt, um festzustellen, ob ein SAP-Router auf einer bestimmten IP läuft, indem das Modul sap_service_discovery verwendet wird. Dieser Schritt ist entscheidend, um die Anwesenheit eines SAP-Routers und seines offenen Ports festzustellen.

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

Nach der Entdeckung wird eine weitere Untersuchung der Konfiguration des SAP-Routers mit dem Modul sap_router_info_request durchgeführt, um möglicherweise interne Netzwerkinformationen aufzudecken.

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

Ermittlung interner Dienste

Mit den erhaltenen Einblicken in das interne Netzwerk wird das Modul sap_router_portscanner verwendet, um interne Hosts und Dienste über den SAProuter zu sondieren und so ein tieferes Verständnis für interne Netzwerke und Servicekonfigurationen zu erlangen.

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

Dieses Modul bietet aufgrund seiner Flexibilität bei der gezielten Ausrichtung auf bestimmte SAP-Instanzen und Ports ein effektives Werkzeug für eine detaillierte interne Netzwerkerkundung.

Erweiterte Enumeration und ACL-Mapping

Durch weitere Scans kann herausgefunden werden, wie die Zugriffskontrolllisten (ACLs) auf dem SAProuter konfiguriert sind und welche Verbindungen erlaubt oder blockiert werden. Diese Informationen sind entscheidend, um Sicherheitsrichtlinien und potenzielle Schwachstellen zu verstehen.

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

Blind Enumeration der internen Hosts

In Szenarien, in denen direkte Informationen vom SAProuter begrenzt sind, können Techniken wie die blinde Enumeration angewendet werden. Dieser Ansatz versucht, die Existenz interner Hostnamen zu erraten und zu überprüfen, um potenzielle Ziele ohne direkte IP-Adressen aufzudecken.

Nutzung von Informationen für Penetrationstests

Nachdem das Netzwerk kartiert und zugängliche Dienste identifiziert wurden, können Penetrationstester die Proxy-Fähigkeiten von Metasploit nutzen, um über den SAProuter weiterhin interne SAP-Dienste zu erkunden und auszunutzen.

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

Fazit

Dieser Ansatz unterstreicht die Bedeutung einer sicheren Konfiguration von SAProuter und verdeutlicht das Potenzial für den Zugriff auf interne Netzwerke durch gezieltes Penetration Testing. Eine ordnungsgemäße Absicherung von SAP-Routern und das Verständnis ihrer Rolle in der Netzwerksicherheitsarchitektur sind entscheidend, um sich vor unbefugtem Zugriff zu schützen.

Für weitere detaillierte Informationen zu Metasploit-Modulen und ihrer Verwendung besuchen Sie die Datenbank von Rapid7.

Referenzen

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/

Shodan

• port:3299 !HTTP Network packet too big