5601 - Pentesting Kibana

基本信息

Kibana 以其在 Elasticsearch 中搜索和可视化数据的能力而闻名，通常运行在端口 5601 上。它作为 Elastic Stack 集群的监控、管理和安全功能的接口。

理解认证

Kibana 中的认证过程与 Elasticsearch 中使用的凭据 密切相关。如果 Elasticsearch 禁用认证，则可以在没有任何凭据的情况下访问 Kibana。相反，如果 Elasticsearch 使用凭据进行保护，则访问 Kibana 也需要相同的凭据，从而在两个平台上保持相同的用户权限。凭据可能在 /etc/kibana/kibana.yml 文件中找到。如果这些凭据不属于 kibana_system 用户，则可能提供更广泛的访问权限，因为 kibana_system 用户的访问仅限于监控 API 和 .kibana 索引。

访问后的操作

一旦获得对 Kibana 的访问权限，建议采取以下几项操作：

• 优先探索来自 Elasticsearch 的数据。

• 管理用户的能力，包括编辑、删除或创建新用户、角色或 API 密钥，可以在 Stack Management -> Users/Roles/API Keys 下找到。

• 检查 Kibana 的安装版本是否存在已知漏洞，例如在 6.6.0 之前版本中发现的 RCE 漏洞 (更多信息)。

SSL/TLS 考虑

在未启用 SSL/TLS 的情况下，应彻底评估泄露敏感信息的潜在风险。

参考

• https://insinuator.net/2021/01/pentesting-the-elk-stack/