Con los derechos de acceso de SAP_ALL, ¿puede alguien ejecutar un ejecutable en el servidor ABAP de SAP Netweaver?

2

Dado un sistema de demostración para una feria que se basa en SAP Netweaver ABAP. Nuestra aplicación tiene un error que no se puede solucionar fácilmente, al menos no a tiempo para la feria. La solución es dar a los usuarios de la demostración SAP_ALL derechos de acceso.

SAP_ALL es una mala idea, lo sé. Por favor, no discutamos esa parte. Ya lo hice y será así.

No nos preocupamos por los datos en el sistema. Es un sistema de demostración IDES y tenemos un programa que puede eliminar los datos (los datos de nuestra aplicación) y restablecerlos en el estado de entrega o demostración. Así que no es un gran problema si alguien manipula los datos.

Como probador de ese sistema, tengo conocimientos de aplicaciones pero no tengo suficientes conocimientos de administración de SAP. Me pregunto si sería posible transferir de alguna manera un ejecutable a ese servidor (a través de la transacción CG3Z, tal vez) o crear uno en el servidor y luego ejecutarlo.

En mi humilde opinión, esto sería una superficie de ataque sin discusión y si es posible, me daría un nuevo argumento para hablar con la gente nuevamente.

Tal vez sea relevante: nuestra aplicación necesita ICM (Internet Communication Manager) y HTTP, por lo que se abrirá un puerto.

    
pregunta Thomas Weller 08.12.2016 - 15:29
fuente

2 respuestas

2

Sí, SAP_ALL le brinda todo lo que necesita para obtener un shell como < SID > ADM en la caja. Primero, puede ejecutar el informe RSBDCOS0, que le brinda la ejecución del código del SO de inmediato. En segundo lugar, puede hacer uso del mecanismo sapxpg que también ejecuta programas del sistema operativo. Como usuario de SAP_ALL, también puede cambiar la configuración para que RCE sea posible a través de la red.

Ambos mecanismos le permiten agregar otro usuario SAP_ALL para su uso posterior insertando directamente 2 líneas en USR02 usando un cliente DB que escapa a todo el registro interno de SAP.

    
respondido por el kaidentity 15.04.2017 - 11:55
fuente
0

Sí, SAP_ALL permite la escalada de privilegios en el entorno, y habrá un canal para permitir las comunicaciones de lógica maliciosa. Un atacante puede usar un ejecutable pero incluso eso no es necesario. La capacidad de ejecutar código, sin embargo, debería ser evidente.

Para una asignación temporal a SAP* , revise esta secuencia de comandos - enlace - el cual Como puede ver, usa SAP_ALL para una escalada de privilegios casi invisible. Si un administrador de Basis usa un verificador de cuenta estándar, esta secuencia de comandos no mostrará los privilegios elevados.

    
respondido por el atdre 14.02.2017 - 00:10
fuente

Lea otras preguntas en las etiquetas