hacktricks/network-services-pentesting/5985-5986-pentesting-omi.md

5985,5986 - Test d'intrusion OMI

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité? Vous voulez voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version du PEASS ou télécharger HackTricks en PDF? Consultez les PLANS D'ABONNEMENT!
• Découvrez La famille PEASS, notre collection exclusive de NFTs
• Obtenez le swag officiel PEASS & HackTricks
• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.
• Partagez vos astuces de piratage en soumettant des PR au dépôt hacktricks et dépôt hacktricks-cloud.

Informations de base

OMI est un outil de gestion de configuration à distance open-source développé par Microsoft. Les agents OMI sont couramment installés sur les serveurs Linux Azure lorsque les services suivants sont utilisés :

• Automatisation Azure
• Mise à jour automatique Azure
• Suite de gestion des opérations Azure
• Analyse des journaux Azure
• Gestion de la configuration Azure
• Diagnostics Azure

Lorsque ces services sont configurés, le processus omiengine écoutera sur toutes les interfaces et s'exécutera en tant qu'utilisateur root.

Port par défaut : 5985(http), 5986(https)

CVE-2021-38647

Au 16 septembre, les nouveaux serveurs Linux créés dans Azure sont toujours livrés avec une version vulnérable de l'agent OMI. Après le déploiement d'un serveur Linux et l'activation d'un des services énumérés ci-dessus, le serveur sera dans un état vulnérable.

Le serveur OMI reçoit des messages de gestion de configuration via le point de terminaison /wsman. En général, un en-tête d'authentification est transmis avec le message et le serveur OMI s'assurera que le client est autorisé à communiquer. Dans ce cas, la vulnérabilité réside dans le fait que lorsque aucun en-tête d'authentification n'est présent, le serveur accepte incorrectement le message et exécute l'instruction sous l'utilisateur root.

En envoyant une charge utile SOAP "ExecuteShellCommand" au serveur sans spécifier d'en-tête d'authentification, il exécutera la commande en tant que root.

<s:Envelope xmlns:s="http://www.w3.org/2003/05/soap-envelope" xmlns:a="http://schemas.xmlsoap.org/ws/2004/08/addressing"
...
<s:Body>
<p:ExecuteShellCommand_INPUT xmlns:p="http://schemas.dmtf.org/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem">
<p:command>id</p:command>
<p:timeout>0</p:timeout>
</p:ExecuteShellCommand_INPUT>
</s:Body>
</s:Envelope>

Trouvez l'exploit complet sur https://github.com/horizon3ai/CVE-2021-38647

Références

• https://www.horizon3.ai/omigod-rce-vulnerability-in-multiple-azure-linux-deployments/
• https://blog.wiz.io/omigod-critical-vulnerabilities-in-omi-azure/

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• Travaillez-vous dans une entreprise de cybersécurité? Vous voulez voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version du PEASS ou télécharger HackTricks en PDF? Consultez les PLANS D'ABONNEMENT!
• Découvrez La famille PEASS, notre collection exclusive de NFTs
• Obtenez le swag officiel PEASS & HackTricks
• Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦@carlospolopm.
• Partagez vos astuces de piratage en soumettant des PR au dépôt hacktricks et dépôt hacktricks-cloud.