5601 - Pentesting Kibana
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kibana is bekend vir sy vermoë om data binne Elasticsearch te soek en te visualiseer, wat tipies op poort 5601 loop. Dit dien as die koppelvlak vir die Elastic Stack-kluster se monitering, bestuur en sekuriteitsfunksies.
Die proses van verifikasie in Kibana is inherent gekoppel aan die akkrediteer wat in Elasticsearch gebruik word. As Elasticsearch se verifikasie gedeaktiveer is, kan Kibana sonder enige akkrediteer toegang verkry. Omgekeerd, as Elasticsearch met akkrediteer beveilig is, is dieselfde akkrediteer nodig om toegang tot Kibana te verkry, wat identiese gebruikersregte oor beide platforms handhaaf. Akkrediteer kan in die /etc/kibana/kibana.yml lêer gevind word. As hierdie akkrediteer nie betrekking het op die kibana_system gebruiker nie, kan dit breër toegangregte bied, aangesien die kibana_system gebruiker se toegang beperk is tot monitering API's en die .kibana-indeks.
Sodra toegang tot Kibana beveilig is, is verskeie aksies raadsaam:
Om data van Elasticsearch te verken, moet 'n prioriteit wees.
Die vermoë om gebruikers te bestuur, insluitend die redigering, verwydering of skepping van nuwe gebruikers, rolle of API-sleutels, is onder Stack Management -> Users/Roles/API Keys te vind.
Dit is belangrik om die geïnstalleerde weergawe van Kibana te kontroleer vir bekende kwesbaarhede, soos die RCE kwesbaarheid wat in weergawes voor 6.6.0 geïdentifiseer is (Meer Inligting).
In gevalle waar SSL/TLS nie geaktiveer is nie, moet die potensiaal om sensitiewe inligting te lek deeglik geëvalueer word.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)