PORT     STATE SERVICE    VERSION
3299/tcp open  saprouter?

To jest podsumowanie posta z https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/

Zrozumienie penetracji SAProutera z Metasploit

SAProuter działa jako odwrotny serwer proxy dla systemów SAP, głównie w celu kontrolowania dostępu między internetem a wewnętrznymi sieciami SAP. Jest często wystawiany na internet, pozwalając na dostęp do portu TCP 3299 przez zapory ogniowe organizacji. Taka konfiguracja czyni SAProutera atrakcyjnym celem dla pentestingu, ponieważ może służyć jako brama do cennych wewnętrznych sieci.

Skanowanie i zbieranie informacji

Początkowo przeprowadza się skanowanie, aby zidentyfikować, czy na danym adresie IP działa router SAP, używając modułu sap_service_discovery. Ten krok jest kluczowy dla ustalenia obecności routera SAP i jego otwartego portu.

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

Po odkryciu przeprowadzono dalsze badania nad konfiguracją routera SAP za pomocą modułu sap_router_info_request, aby potencjalnie ujawnić szczegóły wewnętrznej sieci.

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

Enumerowanie usług wewnętrznych

Dzięki uzyskanym informacjom o wewnętrznej sieci, moduł sap_router_portscanner jest używany do badania wewnętrznych hostów i usług przez SAProuter, co pozwala na głębsze zrozumienie wewnętrznych sieci i konfiguracji usług.

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

Elastyczność tego modułu w celowaniu w konkretne instancje SAP i porty czyni go skutecznym narzędziem do szczegółowego badania wewnętrznej sieci.

Zaawansowana enumeracja i mapowanie ACL

Dalsze skanowanie może ujawnić, jak są skonfigurowane listy kontroli dostępu (ACL) na SAProuterze, szczegółowo opisując, które połączenia są dozwolone lub zablokowane. Informacje te są kluczowe dla zrozumienia polityki bezpieczeństwa i potencjalnych luk.

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

Ślepe enumerowanie wewnętrznych hostów

W scenariuszach, w których bezpośrednie informacje z SAProutera są ograniczone, można zastosować techniki takie jak ślepe enumerowanie. Podejście to próbuje zgadnąć i zweryfikować istnienie wewnętrznych nazw hostów, ujawniając potencjalne cele bez bezpośrednich adresów IP.

Wykorzystanie informacji do pentestingu

Mając zmapowaną sieć i zidentyfikowane dostępne usługi, testerzy penetracyjni mogą wykorzystać możliwości proxy Metasploit do przejścia przez SAProuter w celu dalszego badania i eksploatacji wewnętrznych usług SAP.

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

Wnioski

Podejście to podkreśla znaczenie bezpiecznych konfiguracji SAProutera i wskazuje na potencjał dostępu do sieci wewnętrznych poprzez ukierunkowane pentesty. Odpowiednie zabezpieczenie routerów SAP oraz zrozumienie ich roli w architekturze bezpieczeństwa sieci jest kluczowe dla ochrony przed nieautoryzowanym dostępem.

Aby uzyskać bardziej szczegółowe informacje na temat modułów Metasploit i ich zastosowania, odwiedź bazę danych Rapid7.

Bibliografia

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/

Shodan

• port:3299 !HTTP Network packet too big