3299 - Pentesting SAPRouter

PORT     STATE SERVICE    VERSION
3299/tcp open  saprouter?

This is a summary of the post from https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/

Verständnis der SAProuter-Penetration mit Metasploit

SAProuter fungiert als Reverse-Proxy für SAP-Systeme, hauptsächlich um den Zugriff zwischen dem Internet und internen SAP-Netzwerken zu steuern. Es wird häufig dem Internet ausgesetzt, indem der TCP-Port 3299 durch die organisatorischen Firewalls zugelassen wird. Diese Konfiguration macht SAProuter zu einem attraktiven Ziel für Pentesting, da es als Gateway zu wertvollen internen Netzwerken dienen könnte.

Scannen und Informationssammlung

Zunächst wird ein Scan durchgeführt, um festzustellen, ob ein SAP-Router auf einer bestimmten IP-Adresse läuft, indem das Modul sap_service_discovery verwendet wird. Dieser Schritt ist entscheidend, um die Präsenz eines SAP-Routers und seinen offenen Port festzustellen.

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

Nach der Entdeckung wird eine weitere Untersuchung der Konfiguration des SAP-Routers mit dem sap_router_info_request-Modul durchgeführt, um möglicherweise interne Netzwerkdetails offenzulegen.

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

Auflisten interner Dienste

Mit den gewonnenen Einblicken in das interne Netzwerk wird das sap_router_portscanner-Modul verwendet, um interne Hosts und Dienste über den SAProuter zu untersuchen, was ein tieferes Verständnis der internen Netzwerke und Dienstkonfigurationen ermöglicht.

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

Die Flexibilität dieses Moduls, spezifische SAP-Instanzen und Ports anzusprechen, macht es zu einem effektiven Werkzeug für eine detaillierte interne Netzwerkexploration.

Erweiterte Aufzählung und ACL-Abbildung

Weiteres Scannen kann aufzeigen, wie die Access Control Lists (ACLs) auf dem SAProuter konfiguriert sind, und detaillieren, welche Verbindungen erlaubt oder blockiert sind. Diese Informationen sind entscheidend für das Verständnis von Sicherheitsrichtlinien und potenziellen Schwachstellen.

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

Blind Enumeration von internen Hosts

In Szenarien, in denen direkte Informationen vom SAProuter begrenzt sind, können Techniken wie die blinde Enumeration angewendet werden. Dieser Ansatz versucht, die Existenz interner Hostnamen zu erraten und zu überprüfen, wodurch potenzielle Ziele ohne direkte IP-Adressen offengelegt werden.

Nutzung von Informationen für Penetrationstests

Nachdem das Netzwerk kartiert und zugängliche Dienste identifiziert wurden, können Penetrationstester die Proxy-Funktionen von Metasploit nutzen, um über den SAProuter weiter zu erkunden und interne SAP-Dienste auszunutzen.

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

Fazit

Dieser Ansatz unterstreicht die Bedeutung sicherer SAProuter-Konfigurationen und hebt das Potenzial hervor, über gezielte Penetrationstests auf interne Netzwerke zuzugreifen. Die ordnungsgemäße Sicherung von SAP-Routern und das Verständnis ihrer Rolle in der Netzwerksicherheitsarchitektur sind entscheidend, um sich gegen unbefugten Zugriff zu schützen.

Für detailliertere Informationen zu Metasploit-Modulen und deren Verwendung besuchen Sie die Datenbank von Rapid7.

Referenzen

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/

Shodan

• port:3299 !HTTP Netzwerkpaket zu groß