HackTricks

PORT     STATE SERVICE    VERSION
3299/tcp open  saprouter?

这是来自https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/的帖子摘要

理解使用Metasploit进行SAProuter渗透

SAProuter充当SAP系统的反向代理，主要用于控制互联网与内部SAP网络之间的访问。它通常通过允许TCP端口3299穿过组织防火墙而暴露于互联网。这种设置使得SAProuter成为渗透测试的一个有吸引力的目标，因为它可能作为高价值内部网络的网关。

扫描和信息收集

最初，使用sap_service_discovery模块进行扫描，以确定给定IP上是否运行SAP路由器。这一步对于确认SAP路由器及其开放端口的存在至关重要。

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

在发现之后，使用 sap_router_info_request 模块对 SAP 路由器的配置进行进一步调查，以可能揭示内部网络细节。

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

枚举内部服务

通过获得的内部网络洞察，sap_router_portscanner模块用于通过SAProuter探测内部主机和服务，从而更深入地了解内部网络和服务配置。

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

该模块在针对特定SAP实例和端口方面的灵活性使其成为进行详细内部网络探索的有效工具。

高级枚举和ACL映射

进一步扫描可以揭示SAProuter上访问控制列表（ACL）的配置，详细说明哪些连接被允许或阻止。这些信息对于理解安全策略和潜在漏洞至关重要。

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

内部主机的盲目枚举

在从 SAProuter 获取直接信息有限的情况下，可以应用盲目枚举等技术。这种方法试图猜测并验证内部主机名的存在，揭示潜在目标而无需直接的 IP 地址。

利用信息进行渗透测试

在映射网络并识别可访问服务后，渗透测试人员可以利用 Metasploit 的代理功能，通过 SAProuter 进行进一步的探索和内部 SAP 服务的利用。

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

结论

这种方法强调了安全配置SAProuter的重要性，并突出了通过有针对性的渗透测试访问内部网络的潜力。妥善保护SAP路由器并理解其在网络安全架构中的角色对于防止未经授权的访问至关重要。

有关Metasploit模块及其使用的详细信息，请访问 Rapid7's database。

参考文献

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/

Shodan

• port:3299 !HTTP Network packet too big