Escenario: un atacante está conectado a través de VPN a un host remoto desconocido. Se supone que el host remoto tiene dos NIC, una que sirve a la VPN y la otra a otra subred desconocida. Además, el host remoto no se puede explotar utilizando otros vectores como RDP o SSH.
Pregunta: ¿Cómo puede el atacante pivotar del host remoto? Un primer paso posible podría ser encontrar los detalles de la otra subred. Como lo que obtendrías si pudieras ejecutar "ipconfig / ifconfig".
Como no se especificó, abordaré los servidores TUN y TAP VPN. Puedes leer más sobre la diferencia en wiki de OpenVPN .
Por lo general, un servidor VPN que utiliza TUN enviará rutas estáticas a una o más subredes, o potencialmente a todo el espacio de direcciones, para que actúe como la puerta de enlace predeterminada. El archivo de configuración del cliente puede contener información sobre rutas, o una vez conectado a la VPN, la tabla de enrutamiento del atacante puede rellenarse con información sobre las subredes remotas. Esta información podría usarse para la enumeración y el análisis de hosts en esas subredes.
En el caso en el que el servidor VPN solo empuja las rutas para que actúe como la puerta de enlace predeterminada (por ejemplo, la opción redirect-gateway def1 de OpenVPN), es posible que tenga que recurrir ciegamente a la detección del host en RFC1918 redes privadas, quizás utilizando Nmap u otro escáner.
Por otro lado, un servidor VPN que usa TAP puede hacer que el atacante reciba una dirección directamente en la red de destino, por lo que la interfaz local tun0 o similar mostrará información sobre la subred remota. El atacante también puede comenzar a recibir tráfico de difusión / multidifusión en la red, lo que puede ayudar con el descubrimiento pasivo de otros hosts.
Lea otras preguntas en las etiquetas penetration-test exploit vpn