1883 - Pentesting MQTT (Mosquitto)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Información Básica
MQ Telemetry Transport (MQTT) es conocido como un protocolo de mensajería de publicación/suscripción que se destaca por su extrema simplicidad y ligereza. Este protocolo está específicamente diseñado para entornos donde los dispositivos tienen capacidades limitadas y operan sobre redes caracterizadas por un bajo ancho de banda, alta latencia o conexiones poco fiables. Los objetivos principales de MQTT incluyen minimizar el uso del ancho de banda de la red y reducir la demanda sobre los recursos del dispositivo. Además, busca mantener una comunicación fiable y proporcionar un cierto nivel de garantía de entrega. Estos objetivos hacen que MQTT sea excepcionalmente adecuado para el creciente campo de la comunicación máquina a máquina (M2M) y el Internet de las Cosas (IoT), donde es esencial conectar de manera eficiente una multitud de dispositivos. Además, MQTT es muy beneficioso para aplicaciones móviles, donde conservar el ancho de banda y la vida de la batería es crucial.
Puerto por defecto: 1883
Inspeccionando el tráfico
Cuando un paquete CONNECT es recibido por los brokers MQTT, se envía de vuelta un paquete CONNACK. Este paquete contiene un código de retorno que es crucial para entender el estado de la conexión. Un código de retorno de 0x00 significa que las credenciales han sido aceptadas, lo que indica una conexión exitosa. Por otro lado, un código de retorno de 0x05 señala que las credenciales son inválidas, impidiendo así la conexión.
Por ejemplo, si el broker rechaza la conexión debido a credenciales inválidas, el escenario se vería algo así:
Pentesting MQTT
La autenticación es totalmente opcional y, incluso si se está realizando autenticación, la encriptación no se utiliza por defecto (las credenciales se envían en texto claro). Los ataques MITM aún se pueden ejecutar para robar contraseñas.
Para conectarte a un servicio MQTT, puedes usar: https://github.com/bapowell/python-mqtt-client-shell y suscribirte a todos los temas haciendo:
También puedes usar https://github.com/akamai-threat-research/mqtt-pwn
También puedes usar:
O puedes ejecutar este código para intentar conectarte a un servicio MQTT sin autenticación, suscribirte a todos los temas y escucharlos:
Más información
from here: https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b
El Patrón Publicar/Suscribirse
El modelo de publicar/suscribirse se compone de:
Publicador: publica un mensaje en uno (o varios) tema(s) en el broker.
Suscriptor: se suscribe a uno (o varios) tema(s) en el broker y recibe todos los mensajes enviados por el publicador.
Broker: enruta todos los mensajes de los publicadores a los suscriptores.
Tema: consiste en uno o más niveles que están separados por una barra diagonal (por ejemplo, /smartshouse/livingroom/temperature).
Formato del Paquete
Cada paquete MQTT contiene un encabezado fijo (Figura 02).Figura 02: Encabezado Fijo
Tipos de Paquetes
CONNECT (1): Iniciado por el cliente para solicitar una conexión al servidor.
CONNACK (2): El reconocimiento del servidor de una conexión exitosa.
PUBLISH (3): Utilizado para enviar un mensaje del cliente al servidor o viceversa.
PUBACK (4): Reconocimiento de un paquete PUBLISH.
PUBREC (5): Parte de un protocolo de entrega de mensajes que asegura que el mensaje sea recibido.
PUBREL (6): Aseguramiento adicional en la entrega de mensajes, indicando una liberación de mensaje.
PUBCOMP (7): Parte final del protocolo de entrega de mensajes, indicando finalización.
SUBSCRIBE (8): Solicitud de un cliente para escuchar mensajes de un tema.
SUBACK (9): El reconocimiento del servidor de una solicitud de SUSCRIPCIÓN.
UNSUBSCRIBE (10): Solicitud de un cliente para dejar de recibir mensajes de un tema.
UNSUBACK (11): La respuesta del servidor a una solicitud de CANCELACIÓN DE SUSCRIPCIÓN.
PINGREQ (12): Un mensaje de latido enviado por el cliente.
PINGRESP (13): Respuesta del servidor al mensaje de latido.
DISCONNECT (14): Iniciado por el cliente para terminar la conexión.
Dos valores, 0 y 15, están marcados como reservados y su uso está prohibido.
Shodan
port:1883 MQTT
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated