# 264/tcp - Pentesting Check Point Firewall

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

Dit is moontlik om met CheckPoint Firewall-1 firewalls te kommunikeer om waardevolle inligting te ontdek, soos die firewall se naam en die bestuurstasie se naam. Dit kan gedoen word deur ’n navraag na poort 264/TCP te stuur.

Verkryging van Firewall- en Bestuursstasie-name

Deur ’n pre-authentication-versoek te gebruik, kan jy ’n module uitvoer wat die CheckPoint Firewall-1 teiken. Die nodige opdragte vir hierdie operasie word hieronder uiteengesit:

use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.10.10

By uitvoering probeer die module die firewall se SecuRemote Topology service kontak. Indien suksesvol, bevestig dit die teenwoordigheid van ’n CheckPoint Firewall en haal dit die name op van beide die firewall en die SmartCenter management host. Hier is ’n voorbeeld van hoe die uitset kan lyk:

[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed

Alternatiewe metode vir hostname en ICA name-ontdekking

Nog ’n tegniek behels ’n direkte command wat ’n spesifieke query na die firewall stuur en die response parseer om die firewall se hostname en ICA name te onttrek. Die command en sy struktuur is soos volg:

printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 10.10.10.10 264 | grep -a CN | cut -c 2-

Die uitvoer van hierdie opdrag verskaf gedetailleerde inligting oor die firewall se sertifikaatnaam (CN) en organisasie (O), soos hieronder gedemonstreer:

CN=Panama,O=MGMTT.srv.rxfrmi

HTTP Security Server Format String Bug (CAN-2004-0039)

Geaffekteerde builds: NG FCS, NG FP1, NG FP2, NG FP3 HF2, and NG with Application Intelligence R54/R55.
Vereiste: The HTTP Security Server or AI HTTP proxy must be enabled and transparently inspecting the targeted port; as HTTP-inspeksie gedeaktiveer is word die kwesbare kodepad nooit bereik nie.

Foutbehandelaar uitlok

Die proxy verwerp verkeerd gevormde HTTP-boodskappe en bou sy eie foutblad met sprintf(errbuf, attacker_string);, waardeur attacker-controlled bytes as die formaatstring optree. Stuur ’n ongeldige versoek deur die firewall en soek na ’n deur die proxy gegenereerde fout wat jou payload weerspieël:

printf 'BOGUS%%08x%%08x%%08x%%n HTTP/1.0\r\nHost: internal.local\r\n\r\n' | nc -nv [FIREWALL_IP] 80

If HTTP inspection is active, the firewall (not the backend server) answers immediately, proving the middlebox parsed and replayed the request line.

Exploitation

Format string primitive

  • Dwing die parser in die foutroetine (invalid method, URI, or headers).
  • Plaas deur die aanvaller beheerde dwords vooraan sodat %x, %s, en %n direktiewe hulle as stack-argumente beskou.
  • Gebruik %x/%s om pointers te leak, en dan %n/%hn om die geformatteerde byte-telling in gekose adresse te skryf, oor skryf return pointers, vtables, of heap metadata voordat jy uitvoering kap met geïnjekteerde shellcode of ROP.

Heap overflow primitive

Die selfde onveilige sprintf() skryf in ’n fixed-size heap buffer. Meng ’n lang request body met oversized directives (e.g., %99999x) sodat die geformatteerde output die toewysing oorspann en aangrensende heap strukture korrupteer, wat jou toelaat om freelist pointers of function tables te vervals wat later gedereferensieer word.

Impact

Kompromittering van die proxy verleen code execution binne die firewall-proses (SYSTEM on Windows appliances, root on UNIX), wat rule manipulation, traffic interception, en pivoting dieper in die management network moontlik maak.

References

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks