# 264/tcp - Pentesting Check Point Firewall

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

È possibile interagire con i CheckPoint Firewall-1 firewall per scoprire informazioni utili come il nome del firewall e il nome della stazione di gestione. Questo può essere fatto inviando una query alla porta 264/TCP.

Ottenere i nomi del Firewall e della stazione di gestione

Utilizzando una richiesta di pre-autenticazione, è possibile eseguire un modulo che prende di mira il CheckPoint Firewall-1. I comandi necessari per questa operazione sono riportati di seguito:

use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.10.10

Durante l’esecuzione, il modulo tenta di contattare il servizio SecuRemote Topology del firewall. Se l’operazione ha successo, conferma la presenza di un CheckPoint Firewall e recupera i nomi sia del firewall che dell’host di gestione SmartCenter. Ecco un esempio di come potrebbe apparire l’output:

[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed

Metodo alternativo per la scoperta di hostname e ICA name

Un’altra tecnica prevede un comando diretto che invia una query specifica al firewall e analizza la risposta per estrarre l’hostname e l’ICA name del firewall. Il comando e la sua struttura sono i seguenti:

printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 10.10.10.10 264 | grep -a CN | cut -c 2-

L’output di questo comando fornisce informazioni dettagliate sul nome del certificato (CN) e sull’organizzazione (O) del firewall, come mostrato di seguito:

CN=Panama,O=MGMTT.srv.rxfrmi

HTTP Security Server Format String Bug (CAN-2004-0039)

Build interessate: NG FCS, NG FP1, NG FP2, NG FP3 HF2, and NG with Application Intelligence R54/R55. Requisito: Il HTTP Security Server o l’AI HTTP proxy devono essere abilitati e ispezionare in modo trasparente la porta target; se l’ispezione HTTP è disabilitata il percorso di codice vulnerabile non viene mai raggiunto.

Attivazione dell’handler di errore

Il proxy rifiuta messaggi HTTP malformati e costruisce la propria pagina di errore con sprintf(errbuf, attacker_string);, permettendo che byte controllati dall’attaccante agiscano come format string. Invia una richiesta non valida attraverso il firewall e cerca un errore generato dal proxy che rifletta il tuo payload:

printf 'BOGUS%%08x%%08x%%08x%%n HTTP/1.0\r\nHost: internal.local\r\n\r\n' | nc -nv [FIREWALL_IP] 80

Se HTTP inspection è attiva, il firewall (not the backend server) risponde immediatamente, dimostrando che il middlebox ha analizzato e riprodotto la request line.

Exploitation

Format string primitive

  • Forza il parser nella error routine (invalid method, URI, or headers).
  • Posiziona dwords controllati dall’attaccante all’inizio in modo che %x, %s, e %n trattino quei valori come argomenti dello stack.
  • Usa %x/%s per ottenere leak di pointers, poi %n/%hn per scrivere il conteggio di byte formattati negli indirizzi scelti, sovrascrivendo return pointers, vtables o heap metadata prima di hijackare l’esecuzione con shellcode iniettato o ROP.

Heap overflow primitive

La stessa unsafe sprintf() scrive in un buffer heap a dimensione fissa. Combina un long request body con direttive oversize (e.g., %99999x) in modo che l’output formattato ecceda l’allocazione e corrompa strutture heap adiacenti, permettendoti di forgiare freelist pointers o function tables che verranno poi dereferenziati.

Impact

La compromissione del proxy consente l’esecuzione di codice all’interno del processo del firewall (SYSTEM on Windows appliances, root on UNIX), permettendo la manipolazione delle regole, l’intercettazione del traffico e il pivoting più profondo nella management network.

References

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks