Lateral VLAN Segmentation Bypass

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Si un accès direct à un commutateur est disponible, la segmentation VLAN peut être contournée. Cela implique de reconfigurer le port connecté en mode trunk, d'établir des interfaces virtuelles pour les VLAN cibles et de définir des adresses IP, soit de manière dynamique (DHCP) soit de manière statique, en fonction du scénario (pour plus de détails, consultez https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9).

Initialement, l'identification du port connecté spécifique est requise. Cela peut généralement être accompli via des messages CDP, ou en recherchant le port via le masque include.

Si CDP n'est pas opérationnel, l'identification du port peut être tentée en recherchant l'adresse MAC:

SW1(config)# show mac address-table | include 0050.0000.0500

Avant de passer en mode trunk, une liste des VLAN existants doit être compilée et leurs identifiants déterminés. Ces identifiants sont ensuite attribués à l'interface, permettant l'accès à différents VLAN via le trunk. Le port en cours d'utilisation, par exemple, est associé au VLAN 10.

SW1# show vlan brief

Passer en mode trunk implique d'entrer en mode configuration de l'interface:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

Passer en mode trunk perturbera temporairement la connectivité, mais cela peut être rétabli par la suite.

Des interfaces virtuelles sont ensuite créées, des identifiants VLAN leur sont attribués, et elles sont activées :

sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

Ensuite, une demande d'adresse est faite via DHCP. Alternativement, dans les cas où DHCP n'est pas viable, les adresses peuvent être configurées manuellement :

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

Exemple pour définir manuellement une adresse IP statique sur une interface (VLAN 10) :

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0

La connectivité est testée en initiant des requêtes ICMP aux passerelles par défaut des VLAN 10, 20, 50 et 60.

En fin de compte, ce processus permet de contourner la segmentation des VLAN, facilitant ainsi l'accès non restreint à tout réseau VLAN, et préparant le terrain pour les actions ultérieures.

Références

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Last updated