# 264/tcp - Pentesting Check Point Firewall

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

CheckPoint Firewall-1 firewalls ile etkileşim kurarak firewall’ın adı ve yönetim istasyonunun adı gibi değerli bilgiler keşfedilebilir. Bu, 264/TCP portuna sorgu gönderilerek yapılabilir.

Firewall ve Yönetim İstasyonu İsimlerini Elde Etme

Bir pre-authentication request kullanarak CheckPoint Firewall-1’i hedefleyen bir modülü çalıştırabilirsiniz. Bu işlem için gerekli komutlar aşağıda verilmiştir:

use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.10.10

Çalıştırıldığında, modül firewall’ın SecuRemote Topology servisine bağlanmaya çalışır. Başarılı olursa, bir CheckPoint Firewall’ın varlığını doğrular ve hem firewall’ın hem de SmartCenter yönetim sunucusunun isimlerini alır. İşte çıktının nasıl görünebileceğine dair bir örnek:

[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed

Hostname ve ICA Name keşfi için Alternatif Yöntem

Başka bir teknik, firewall’a belirli bir sorgu gönderen ve yanıtı ayrıştırarak firewall’un hostname ve ICA name’ini çıkaran doğrudan bir komutu içerir. Komut ve yapısı aşağıdaki gibidir:

printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 10.10.10.10 264 | grep -a CN | cut -c 2-

Bu komutun çıktısı, aşağıda gösterildiği gibi firewall’un sertifika adı (CN) ve organizasyonu (O) hakkında ayrıntılı bilgi sağlar:

CN=Panama,O=MGMTT.srv.rxfrmi

HTTP Security Server Format String Bug (CAN-2004-0039)

Etkilenen build’ler: NG FCS, NG FP1, NG FP2, NG FP3 HF2 ve Application Intelligence R54/R55 içeren NG.
Gereksinim: HTTP Security Server veya AI HTTP proxy etkin olmalı ve hedeflenen portu şeffaf şekilde incelemelidir; HTTP incelemesi devre dışıysa zayıf kod yolu hiçbir zaman tetiklenmez.

Hata işleyicisini tetikleme

Proxy bozuk HTTP mesajlarını reddeder ve sprintf(errbuf, attacker_string); ile kendi hata sayfasını oluşturur; böylece saldırgan tarafından kontrol edilen baytlar format string olarak kullanılır. Firewall üzerinden geçersiz bir istek gönderin ve payload’unuzu yansıtan proxy tarafından oluşturulmuş bir hata arayın:

printf 'BOGUS%%08x%%08x%%08x%%n HTTP/1.0\r\nHost: internal.local\r\n\r\n' | nc -nv [FIREWALL_IP] 80

If HTTP inspection aktifse, firewall (backend server değil) hemen cevap verir; bu, middlebox’ın request line’ı parse edip replay ettiğini kanıtlar.

İstismar

Format string primitive

• Parser’ı hata rutinine zorlayın (invalid method, URI, or headers).
• Saldırgan kontrollü dword’ları öne yerleştirin ki %x, %s ve %n direktifleri bunları stack argümanları olarak işlesin.
• Pointer’ları leak etmek için %x/%s kullanın, sonra biçimlendirilmiş byte sayısını seçili adreslere yazmak için %n/%hn kullanarak return pointer’ları, vtable’ları veya heap metadata’sını üzerine yazın ve injected shellcode veya ROP ile yürütmeyi ele geçirin.

Heap overflow primitive

Aynı unsafe sprintf() sabit boyutlu bir heap buffer’ına yazar. Uzun bir request body’yi aşırı büyük direktiflerle (ör. %99999x) karıştırın, böylece biçimlendirilmiş çıktı allocation’ı taşar ve bitişik heap yapıları bozulur; bu, daha sonra dereference edilecek freelist pointer’ları veya function table’ları sahtelemek için izin verir.

Impact

Proxy’nin ele geçirilmesi, firewall süreci içinde kod yürütme imkânı verir (Windows cihazlarda SYSTEM, UNIX’te root), bu da kural manipülasyonu, trafik interception ve yönetim ağına daha derin pivoting yapılmasını mümkün kılar.

References

• https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk69360
• https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html#check-point-firewall-1-topology-port-264
• https://www.cisa.gov/news-events/alerts/2004/02/05/http-parsing-vulnerabilities-check-point-firewall-1
• http://xforce.iss.net/xforce/alerts/id/162

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE) Azure Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

• abonelik planlarını kontrol edin!
• 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter’da bizi takip edin 🐦 @hacktricks_live.**
• Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.