hacktricks/network-services-pentesting/5601-pentesting-kibana.md

# Información Básica

Kibana proporciona capacidades de búsqueda y visualización de datos para los datos indexados en Elasticsearch. El servicio se ejecuta por defecto en el puerto **5601**. Kibana también actúa como la interfaz de usuario para monitorear, administrar y asegurar un clúster Elastic Stack.

## ¿Autenticación?

La autenticación en Kibana está vinculada a las **credenciales de** [**Elasticsearch**](9200-pentesting-elasticsearch.md). Si la **autenticación** está **deshabilitada** en **Elasticsearch**, **Kibana** también debería ser **accesible sin credenciales**. De lo contrario, las **mismas credenciales válidas para Elasticsearch** deberían funcionar al iniciar sesión en Kibana. Los **derechos** de los **usuarios** en **Elasticsearch** son los **mismos** que en **Kibana**.

Es posible encontrar credenciales en el archivo de configuración **/etc/kibana/kibana.yml**. Si esas credenciales no son para el usuario **kibana\_system**, se debe intentar usarlas para acceder a más datos. Podrían tener más derechos que el usuario **kibana\_system**, que solo tiene acceso a la API de monitoreo y al índice **.kibana**.

## ¿Teniendo Acceso?

Cuando se tiene acceso a Kibana, se pueden hacer varias cosas:

* Intentar **acceder a datos** de **Elasticsearch**
* Verificar si se puede acceder al panel de usuarios y si se puede **editar, eliminar o crear nuevos usuarios,** roles o claves API (Gestión de pila -> Usuarios/Roles/Claves API)
* Verificar la versión actual en busca de vulnerabilidades (**Hubo una vulnerabilidad de RCE en 2019 para las versiones de Kibana < 6.6.0** \[[2](https://insinuator.net/2021/01/pentesting-the-elk-stack/#ref2)])

## ¿SSL/TLS Habilitado?

Si SSL/TLS no está habilitado, se debe evaluar si se puede filtrar información sensible.

## Referencias

* [https://insinuator.net/2021/01/pentesting-the-elk-stack/](https://insinuator.net/2021/01/pentesting-the-elk-stack/)
f 2023-06-05 18:33:24 +00:00			`# Información Básica`

			`Kibana proporciona capacidades de búsqueda y visualización de datos para los datos indexados en Elasticsearch. El servicio se ejecuta por defecto en el puerto 5601. Kibana también actúa como la interfaz de usuario para monitorear, administrar y asegurar un clúster Elastic Stack.`

			`## ¿Autenticación?`

			`La autenticación en Kibana está vinculada a las credenciales de [Elasticsearch](9200-pentesting-elasticsearch.md). Si la autenticación está deshabilitada en Elasticsearch, Kibana también debería ser accesible sin credenciales. De lo contrario, las mismas credenciales válidas para Elasticsearch deberían funcionar al iniciar sesión en Kibana. Los derechos de los usuarios en Elasticsearch son los mismos que en Kibana.`

			`Es posible encontrar credenciales en el archivo de configuración /etc/kibana/kibana.yml. Si esas credenciales no son para el usuario kibana\_system, se debe intentar usarlas para acceder a más datos. Podrían tener más derechos que el usuario kibana\_system, que solo tiene acceso a la API de monitoreo y al índice .kibana.`

			`## ¿Teniendo Acceso?`

			`Cuando se tiene acceso a Kibana, se pueden hacer varias cosas:`

			`* Intentar acceder a datos de Elasticsearch`
			`* Verificar si se puede acceder al panel de usuarios y si se puede editar, eliminar o crear nuevos usuarios, roles o claves API (Gestión de pila -> Usuarios/Roles/Claves API)`
			`* Verificar la versión actual en busca de vulnerabilidades (Hubo una vulnerabilidad de RCE en 2019 para las versiones de Kibana < 6.6.0 \[[2](https://insinuator.net/2021/01/pentesting-the-elk-stack/#ref2)])`

			`## ¿SSL/TLS Habilitado?`

			`Si SSL/TLS no está habilitado, se debe evaluar si se puede filtrar información sensible.`

			`## Referencias`

			`* [https://insinuator.net/2021/01/pentesting-the-elk-stack/](https://insinuator.net/2021/01/pentesting-the-elk-stack/)`