Lateral VLAN Segmentation Bypass

Reading time: 5 minutes

スイッチへの直接アクセスが可能な場合、VLANセグメンテーションをバイパスできます。これには、接続されたポートをトランクモードに再構成し、ターゲットVLAN用の仮想インターフェースを確立し、シナリオに応じて動的（DHCP）または静的にIPアドレスを設定することが含まれます（詳細についてはhttps://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9を確認してください。）

最初に、特定の接続ポートの特定が必要です。これは通常、CDPメッセージを通じて、またはincludeマスクを使用してポートを検索することで達成できます。

CDPが機能していない場合、MACアドレスを検索することでポートの特定を試みることができます:

SW1(config)# show mac address-table | include 0050.0000.0500

トランクモードに切り替える前に、既存のVLANのリストを作成し、それらの識別子を特定する必要があります。これらの識別子はインターフェースに割り当てられ、トランクを介してさまざまなVLANにアクセスできるようになります。使用中のポートは、例えば、VLAN 10に関連付けられています。

SW1# show vlan brief

トランクモードに移行するには、インターフェイス設定モードに入る必要があります:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

トランクモードに切り替えると、一時的に接続が中断されますが、その後復元できます。

次に、仮想インターフェースが作成され、VLAN IDが割り当てられ、アクティブ化されます：

sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

その後、DHCPを介してアドレスリクエストが行われます。DHCPが利用できない場合は、アドレスを手動で設定することもできます：

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

インターフェースに静的IPアドレスを手動で設定する例（VLAN 10）：

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0

接続性は、VLAN 10、20、50、および 60 のデフォルトゲートウェイに ICMP リクエストを送信することでテストされます。

最終的に、このプロセスは VLAN セグメンテーションのバイパスを可能にし、任意の VLAN ネットワークへの制限のないアクセスを促進し、その後のアクションのための基盤を整えます。

References

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9