264 - Pentesting Check Point FireWall-1

Можливо взаємодіяти з CheckPoint Firewall-1 брандмауерами, щоб виявити цінну інформацію, таку як ім'я брандмауера та ім'я станції управління. Це можна зробити, надіславши запит на порт 264/TCP.

Отримання імен брандмауера та станції управління

Використовуючи запит перед аутентифікацією, ви можете виконати модуль, який націлений на CheckPoint Firewall-1. Необхідні команди для цієї операції наведені нижче:

use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.10.10

При виконанні модуль намагається зв'язатися з сервісом SecuRemote Topology брандмауера. Якщо успішно, він підтверджує наявність брандмауера CheckPoint і отримує імена як брандмауера, так і хоста управління SmartCenter. Ось приклад того, як може виглядати вихідні дані:

[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed

Альтернативний метод виявлення імені хоста та ICA

Інша техніка передбачає прямий командний запит, який надсилає специфічний запит до брандмауера та аналізує відповідь для витягнення імені хоста брандмауера та імені ICA. Команда та її структура виглядають так:

printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 10.10.10.10 264 | grep -a CN | cut -c 2-

Вихід з цієї команди надає детальну інформацію щодо імені сертифіката брандмауера (CN) та організації (O), як показано нижче:

CN=Panama,O=MGMTT.srv.rxfrmi

Посилання

• https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk69360

• https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html#check-point-firewall-1-topology-port-264