# 264/tcp - Pentesting Check Point Firewall

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Можна взаємодіяти з CheckPoint Firewall-1 для виявлення цінної інформації, такої як ім’я фаєрвола та ім’я станції керування. Це можна зробити, відправивши запит на порт 264/TCP.

Отримання імен фаєрвола та станції керування

Використовуючи запит перед автентифікацією, ви можете виконати модуль, спрямований на CheckPoint Firewall-1. Необхідні команди для цієї операції наведені нижче:

use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.10.10

Після запуску модуль намагається зв’язатися зі службою SecuRemote Topology на firewall. Якщо вдається, він підтверджує наявність CheckPoint Firewall і отримує імена як самого firewall, так і SmartCenter management host. Ось приклад того, як може виглядати вивід:

[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed

Альтернативний метод виявлення імені хоста та імені ICA

Інша техніка полягає у виконанні прямої команди, яка надсилає конкретний запит на firewall і аналізує відповідь, щоб витягти ім’я хоста та ім’я ICA. Команда та її структура виглядають так:

printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 10.10.10.10 264 | grep -a CN | cut -c 2-

Вивід цієї команди надає детальну інформацію про ім’я сертифіката фаєрволу (CN) та організацію (O), як показано нижче:

CN=Panama,O=MGMTT.srv.rxfrmi

Помилка формату рядка в HTTP Security Server (CAN-2004-0039)

Постраждалі збірки: NG FCS, NG FP1, NG FP2, NG FP3 HF2, та NG з Application Intelligence R54/R55. Вимога: HTTP Security Server або AI HTTP proxy повинні бути увімкнені та прозоро інспектувати цільовий порт; якщо HTTP інспекція вимкнута, вразливий шлях виконання ніколи не досягається.

Виклик обробника помилок

Проксі відкидає пошкоджені HTTP-повідомлення і формує власну сторінку помилки за допомогою sprintf(errbuf, attacker_string);, дозволяючи байтам, контрольованим нападником, виступати як форматний рядок. Відправте недійсний запит через фаєрвол і перевірте на наявність помилки, згенерованої проксі, яка відображає ваш payload:

printf 'BOGUS%%08x%%08x%%08x%%n HTTP/1.0\r\nHost: internal.local\r\n\r\n' | nc -nv [FIREWALL_IP] 80

Якщо HTTP inspection увімкнено, firewall (а не backend server) відповідає миттєво, що доводить, що middlebox розібрав і відтворив request line.

Exploitation

Format string primitive

  • Змусьте parser перейти в error routine (invalid method, URI, or headers).
  • Розмістіть attacker-controlled dwords спереду, щоб %x, %s і %n директиви трактували їх як stack arguments.
  • Використовуйте %x/%s щоб leak pointers, потім %n/%hn щоб записати кількість відформатованих байтів у вибрані addresses, перезаписуючи return pointers, vtables або heap metadata перед захопленням execution за допомогою injected shellcode або ROP.

Heap overflow primitive

Та сама небезпечна sprintf() записує в heap buffer фіксованого розміру. Поєднайте довге request body з надвеликими directives (наприклад, %99999x), щоб formatted output перевищив allocation і пошкодив сусідні heap structures, дозволяючи підробити freelist pointers або function tables, які потім будуть dereferenced.

Impact

Компрометація proxy дає можливість виконання коду всередині процесу firewall (SYSTEM на Windows appliances, root на UNIX), що дозволяє rule manipulation, traffic interception і pivoting глибше в management network.

References

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks