hacktricks/network-services-pentesting/5601-pentesting-kibana.md

# Información Básica

Kibana es conocido por su capacidad para buscar y visualizar datos dentro de Elasticsearch, que generalmente se ejecuta en el puerto **5601**. Sirve como la interfaz para las funciones de monitoreo, gestión y seguridad del clúster de Elastic Stack.

## Entendiendo la Autenticación

El proceso de autenticación en Kibana está inherentemente vinculado a las **credenciales utilizadas en Elasticsearch**. Si Elasticsearch tiene la autenticación desactivada, Kibana se puede acceder sin ninguna credencial. Por el contrario, si Elasticsearch está asegurado con credenciales, se requieren las mismas credenciales para acceder a Kibana, manteniendo permisos de usuario idénticos en ambas plataformas. Las credenciales pueden encontrarse en el archivo **/etc/kibana/kibana.yml**. Si estas credenciales no pertenecen al usuario **kibana_system**, pueden ofrecer derechos de acceso más amplios, ya que el acceso del usuario kibana_system está restringido a las API de monitoreo y al índice .kibana.

## Acciones al Acceder

Una vez que se asegura el acceso a Kibana, se aconsejan varias acciones:

- Explorar datos de Elasticsearch debe ser una prioridad.
- La capacidad de gestionar usuarios, incluyendo la edición, eliminación o creación de nuevos usuarios, roles o claves API, se encuentra bajo Gestión de Stack -> Usuarios/Roles/Claves API.
- Es importante verificar la versión instalada de Kibana en busca de vulnerabilidades conocidas, como la vulnerabilidad RCE identificada en versiones anteriores a 6.6.0 ([Más Información](https://insinuator.net/2021/01/pentesting-the-elk-stack/#ref2)).

## Consideraciones de SSL/TLS

En casos donde SSL/TLS no está habilitado, se debe evaluar minuciosamente el potencial de filtrar información sensible.

## Referencias

* [https://insinuator.net/2021/01/pentesting-the-elk-stack/](https://insinuator.net/2021/01/pentesting-the-elk-stack/)