5985,5986 - Pentesting OMI
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
OMIは、Microsoftによって提供される**オープンソース**ツールで、リモート構成管理のために設計されています。特に、次のようなサービスを利用するAzure上のLinuxサーバーに関連しています:
Azure Automation
Azure Automatic Update
Azure Operations Management Suite
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics
これらのサービスが有効になると、プロセスomiengine
が起動し、すべてのインターフェースでrootとしてリッスンします。
使用されるデフォルトポートは5985(http)および5986(https)です。
9月16日に観察されたように、Azureに展開されたLinuxサーバーは、前述のサービスにより脆弱なOMIのバージョンのために影響を受けやすいです。この脆弱性は、OMIサーバーが/wsman
エンドポイントを介してメッセージを処理する際に、Authenticationヘッダーを要求せず、クライアントを不正に認証することにあります。
攻撃者は、Authenticationヘッダーなしで"ExecuteShellCommand" SOAPペイロードを送信することでこれを悪用し、サーバーにroot権限でコマンドを実行させることができます。
CVEに関する詳細は**こちらを確認してください**。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)