1414 - Pentesting IBM MQ
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
IBM MQ è una tecnologia IBM per gestire le code di messaggi. Come altre tecnologie di message broker, è dedicata a ricevere, memorizzare, elaborare e classificare informazioni tra produttori e consumatori.
Per impostazione predefinita, espone la porta TCP 1414 di IBM MQ. A volte, l'API REST HTTP può essere esposta sulla porta 9443. Le metriche (Prometheus) possono anche essere accessibili dalla porta TCP 9157.
La porta TCP 1414 di IBM MQ può essere utilizzata per manipolare messaggi, code, canali, ... ma anche per controllare l'istanza.
IBM fornisce una vasta documentazione tecnica disponibile su https://www.ibm.com/docs/en/ibm-mq.
Uno strumento suggerito per una facile sfruttamento è punch-q, con utilizzo di Docker. Lo strumento utilizza attivamente la libreria Python pymqi
.
Per un approccio più manuale, utilizzare la libreria Python pymqi. Sono necessarie le dipendenze di IBM MQ.
Le dipendenze di IBM MQ devono essere installate e caricate:
Crea un account (IBMid) su https://login.ibm.com/.
Scarica le librerie IBM MQ da https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc. Per Linux x86_64 è 9.0.0.4-IBM-MQC-LinuxX64.tar.gz.
Decomprimere (tar xvzf 9.0.0.4-IBM-MQC-LinuxX64.tar.gz
).
Esegui sudo ./mqlicense.sh
per accettare i termini delle licenze.
Se sei su Kali Linux, modifica il file
mqlicense.sh
: rimuovi/commenta le seguenti righe (tra le righe 105-110):
Installa questi pacchetti:
Quindi, aggiungi temporaneamente i file .so
a LD: export LD_LIBRARY_PATH=/opt/mqm/lib64
, prima di eseguire altri strumenti che utilizzano queste dipendenze.
Poi, puoi clonare il progetto pymqi: contiene frammenti di codice interessanti, costanti, ... Oppure puoi installare direttamente la libreria con: pip install pymqi
.
Basta usare: sudo docker run --rm -ti leonjza/punch-q
.
Clona il progetto punch-q e poi segui il readme per l'installazione (pip install -r requirements.txt && python3 setup.py install
).
Dopo, può essere utilizzato con il comando punch-q
.
Puoi provare a enumerare il nome del gestore della coda, gli utenti, i canali e le code con punch-q o pymqi.
A volte, non c'è protezione contro l'ottenimento del nome del Gestore della Coda:
punch-q utilizza una wordlist interna (modificabile) per trovare canali esistenti. Esempio di utilizzo:
Succede che alcune istanze di IBM MQ accettino richieste MQ non autenticate, quindi --username / --password
non è necessario. Naturalmente, i diritti di accesso possono anche variare.
Non appena otteniamo un nome di canale (qui: DEV.ADMIN.SVRCONN
), possiamo enumerare tutti gli altri canali.
L'enumerazione può essere effettuata fondamentalmente con questo frammento di codice code/examples/dis_channels.py
da pymqi:
... Ma punch-q include anche quella parte (con più informazioni!). Può essere avviato con:
C'è un frammento di codice con pymqi (dis_queues.py
) ma punch-q consente di recuperare più informazioni sulle code:
Puoi mirare a coda(e)/canale(i) per fiutare / scaricare messaggi da essi (operazione non distruttiva). Esempi:
Non esitate a iterare su tutte le code identificate.
Alcuni dettagli prima di continuare: IBM MQ può essere controllato in diversi modi: MQSC, PCF, Control Command. Alcuni elenchi generali possono essere trovati nella documentazione di IBM MQ. PCF (Formati di Comando Programmabili) è su cui ci concentriamo per interagire da remoto con l'istanza. punch-q e inoltre pymqi si basano sulle interazioni PCF.
Puoi trovare un elenco di comandi PCF:
Un comando interessante è
MQCMD_CREATE_SERVICE
e la sua documentazione è disponibile qui. Prende come argomento unStartCommand
che punta a un programma locale sull'istanza (esempio:/bin/sh
).C'è anche un avviso del comando nella documentazione: "Attenzione: Questo comando consente a un utente di eseguire un comando arbitrario con autorità mqm. Se vengono concessi diritti per utilizzare questo comando, un utente malintenzionato o negligente potrebbe definire un servizio che danneggia i tuoi sistemi o dati, ad esempio, eliminando file essenziali."
Nota: sempre secondo la documentazione di IBM MQ (Riferimento all'Amministrazione), c'è anche un endpoint HTTP a
/admin/action/qmgr/{qmgrName}/mqsc
per eseguire il comando MQSC equivalente per la creazione del servizio (DEFINE SERVICE
). Questo aspetto non è ancora trattato qui.
La creazione / eliminazione del servizio con PCF per l'esecuzione di programmi remoti può essere effettuata da punch-q:
Esempio 1
Nei log di IBM MQ, puoi leggere che il comando è stato eseguito con successo:
Puoi anche enumerare i programmi esistenti sulla macchina (qui /bin/doesnotexist
... non esiste):
Fai attenzione che il lancio del programma è asincrono. Quindi hai bisogno di un secondo elemento per sfruttare l'exploit (listener per reverse shell, creazione di file su un servizio diverso, esfiltrazione di dati attraverso la rete ...)
Esempio 2
Per una reverse shell facile, punch-q propone anche due payload per reverse shell:
Uno con bash
Uno con perl
Naturalmente puoi costruirne uno personalizzato con il comando execute
.
Per bash:
Per perl:
Puoi approfondire la documentazione di IBM MQ e utilizzare direttamente la libreria python pymqi per testare comandi PCF specifici non implementati in punch-q.
Example:
Se non riesci a trovare i nomi delle costanti, puoi fare riferimento alla documentazione di IBM MQ.
Esempio per
MQCMD_REFRESH_CLUSTER
(Decimale = 73). Ha bisogno del parametroMQCA_CLUSTER_NAME
(Decimale = 2029) che può essere*
(Doc: ):
Se desideri testare il comportamento e gli exploit di IBM MQ, puoi impostare un ambiente locale basato su Docker:
Avere un account su ibm.com e cloud.ibm.com.
Creare un IBM MQ containerizzato con:
Per impostazione predefinita, l'autenticazione è abilitata, il nome utente è admin
e la password è passw0rd
(variabile ambiente MQ_ADMIN_PASSWORD
). Qui, il nome del gestore di coda è stato impostato su MYQUEUEMGR
(variabile MQ_QMGR_NAME
).
Dovresti avere IBM MQ in esecuzione con le sue porte esposte:
Le vecchie versioni delle immagini docker di IBM MQ si trovano su: https://hub.docker.com/r/ibmcom/mq/.