hacktricks/network-services-pentesting/3299-pentesting-saprouter.md

{% hint style="success" %} AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

• サブスクリプションプランを確認してください！
• **💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
• ハッキングのトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

{% endhint %} ```text PORT STATE SERVICE VERSION 3299/tcp open saprouter? ``` これは、[https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/](https://blog.rapid7.com/2014/01/09/piercing-saprouter-with-metasploit/) の投稿の要約です。

Metasploitを使用したSAProuterの侵入テストの理解

SAProuterは、主にインターネットと内部SAPネットワーク間のアクセスを制御するために、SAPシステムのリバースプロキシとして機能します。これは、組織のファイアウォールを通じてTCPポート3299を許可することにより、一般的にインターネットに公開されます。この設定により、SAProuterは高価値の内部ネットワークへのゲートウェイとして機能する可能性があるため、侵入テストの魅力的なターゲットとなります。

スキャンと情報収集

最初に、sap_service_discoveryモジュールを使用して、特定のIPでSAPルーターが実行されているかどうかを特定するためのスキャンが実行されます。このステップは、SAPルーターの存在とそのオープンポートを確立するために重要です。

msf> use auxiliary/scanner/sap/sap_service_discovery
msf auxiliary(sap_service_discovery) > set RHOSTS 1.2.3.101
msf auxiliary(sap_service_discovery) > run

発見後、sap_router_info_request モジュールを使用してSAPルーターの設定に関するさらなる調査が行われ、内部ネットワークの詳細が明らかになる可能性があります。

msf auxiliary(sap_router_info_request) > use auxiliary/scanner/sap/sap_router_info_request
msf auxiliary(sap_router_info_request) > set RHOSTS 1.2.3.101
msf auxiliary(sap_router_info_request) > run

内部サービスの列挙

取得した内部ネットワークの洞察をもとに、sap_router_portscanner モジュールを使用して、SAProuterを介して内部ホストとサービスを調査し、内部ネットワークとサービス構成のより深い理解を得ることができます。

msf auxiliary(sap_router_portscanner) > set INSTANCES 00-50
msf auxiliary(sap_router_portscanner) > set PORTS 32NN

このモジュールの特定のSAPインスタンスとポートをターゲットにする柔軟性は、詳細な内部ネットワーク探索のための効果的なツールとなります。

高度な列挙とACLマッピング

さらなるスキャンにより、SAProuter上でのアクセス制御リスト（ACL）の設定方法が明らかになり、どの接続が許可されているか、またはブロックされているかの詳細がわかります。この情報は、セキュリティポリシーと潜在的な脆弱性を理解する上で重要です。

msf auxiliary(sap_router_portscanner) > set MODE TCP
msf auxiliary(sap_router_portscanner) > set PORTS 80,32NN

内部ホストのブラインド列挙

SAProuterからの直接情報が限られているシナリオでは、ブラインド列挙のような技術を適用できます。このアプローチは、内部ホスト名の存在を推測し確認することを試み、直接的なIPアドレスなしで潜在的なターゲットを明らかにします。

ペネトレーションテストのための情報活用

ネットワークをマッピングし、アクセス可能なサービスを特定した後、ペネトレーションテスターはMetasploitのプロキシ機能を利用して、SAProuterを通じて内部SAPサービスのさらなる探索と悪用を行うことができます。

msf auxiliary(sap_hostctrl_getcomputersystem) > set Proxies sapni:1.2.3.101:3299
msf auxiliary(sap_hostctrl_getcomputersystem) > set RHOSTS 192.168.1.18
msf auxiliary(sap_hostctrl_getcomputersystem) > run

結論

このアプローチは、SAProuterの安全な構成の重要性を強調し、ターゲットを絞ったペネトレーションテストを通じて内部ネットワークにアクセスする可能性を示しています。SAPルーターを適切に保護し、ネットワークセキュリティアーキテクチャにおけるその役割を理解することは、不正アクセスから保護するために重要です。

Metasploitモジュールとその使用法に関する詳細情報は、Rapid7のデータベースを訪れてください。

参考文献

• https://www.rapid7.com/blog/post/2014/01/09/piercing-saprouter-with-metasploit/

Shodan

• port:3299 !HTTP Network packet too big

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}