1414 - Pentesting IBM MQ
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
IBM MQ to technologia IBM do zarządzania kolejkami wiadomości. Jak inne technologie message broker, jest dedykowana do odbierania, przechowywania, przetwarzania i klasyfikowania informacji między producentami a konsumentami.
Domyślnie ekspozycja IBM MQ odbywa się na porcie TCP 1414. Czasami, API HTTP REST może być eksponowane na porcie 9443. Metryki (Prometheus) mogą być również dostępne z portu TCP 9157.
Port TCP IBM MQ 1414 może być używany do manipulacji wiadomościami, kolejkami, kanałami, ... ale także do kontrolowania instancji.
IBM udostępnia obszerną dokumentację techniczną dostępną pod adresem https://www.ibm.com/docs/en/ibm-mq.
Sugerowanym narzędziem do łatwej eksploatacji jest punch-q, z użyciem Dockera. Narzędzie aktywnie korzysta z biblioteki Pythona pymqi
.
Dla bardziej manualnego podejścia, użyj biblioteki Pythona pymqi. Zależności IBM MQ są potrzebne.
Zależności IBM MQ muszą być zainstalowane i załadowane:
Utwórz konto (IBMid) na https://login.ibm.com/.
Pobierz biblioteki IBM MQ z https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc. Dla Linux x86_64 jest to 9.0.0.4-IBM-MQC-LinuxX64.tar.gz.
Rozpakuj (tar xvzf 9.0.0.4-IBM-MQC-LinuxX64.tar.gz
).
Uruchom sudo ./mqlicense.sh
, aby zaakceptować warunki licencji.
Jeśli używasz Kali Linux, zmodyfikuj plik
mqlicense.sh
: usuń/skomentuj następujące linie (między liniami 105-110):
Zainstaluj te pakiety:
Następnie tymczasowo dodaj pliki .so
do LD: export LD_LIBRARY_PATH=/opt/mqm/lib64
, przed uruchomieniem innych narzędzi korzystających z tych zależności.
Następnie możesz sklonować projekt pymqi: zawiera interesujące fragmenty kodu, stałe, ... Lub możesz bezpośrednio zainstalować bibliotekę za pomocą: pip install pymqi
.
Po prostu użyj: sudo docker run --rm -ti leonjza/punch-q
.
Sklonuj projekt punch-q, a następnie postępuj zgodnie z instrukcjami w readme dotyczącymi instalacji (pip install -r requirements.txt && python3 setup.py install
).
Po tym można go używać za pomocą polecenia punch-q
.
Możesz spróbować wyenumerować nazwę menedżera kolejek, użytkowników, kanały i kolejki za pomocą punch-q lub pymqi.
Czasami nie ma ochrony przed uzyskaniem nazwy Menedżera Kolejek:
punch-q używa wewnętrznej (modyfikowalnej) listy słów do znajdowania istniejących kanałów. Przykład użycia:
Zdarza się, że niektóre instancje IBM MQ akceptują nieautoryzowane żądania MQ, więc --username / --password
nie są potrzebne. Oczywiście, prawa dostępu mogą się również różnić.
Gdy tylko uzyskamy jedną nazwę kanału (tutaj: DEV.ADMIN.SVRCONN
), możemy enumerować wszystkie inne kanały.
Enumeracja może być zasadniczo przeprowadzona za pomocą tego fragmentu kodu code/examples/dis_channels.py
z pymqi:
... Ale punch-q również zawiera tę część (z większą ilością informacji!). Można go uruchomić za pomocą:
There is a code snippet with pymqi (dis_queues.py
) but punch-q permits to retrieve more pieces of info about the queues:
Możesz celować w kolejki/kanaly, aby podsłuchiwać / zrzucać wiadomości z nich (operacja nie niszcząca). Przykłady:
Nie wahaj się iterować po wszystkich zidentyfikowanych kolejkach.
Kilka szczegółów przed kontynuowaniem: IBM MQ można kontrolować na różne sposoby: MQSC, PCF, Control Command. Ogólne listy można znaleźć w dokumentacji IBM MQ. PCF (Programowalne formaty poleceń) to na czym się skupiamy, aby zdalnie interagować z instancją. punch-q i dalej pymqi opierają się na interakcjach PCF.
Możesz znaleźć listę poleceń PCF:
Z dokumentacji PCF, oraz
Jednym z interesujących poleceń jest
MQCMD_CREATE_SERVICE
, a jego dokumentacja jest dostępna tutaj. Przyjmuje jako argumentStartCommand
wskazujący na lokalny program na instancji (przykład:/bin/sh
).W dokumentacji znajduje się również ostrzeżenie dotyczące polecenia: "Uwaga: To polecenie pozwala użytkownikowi uruchomić dowolne polecenie z uprawnieniami mqm. Jeśli przyznano prawa do korzystania z tego polecenia, złośliwy lub niedbały użytkownik mógłby zdefiniować usługę, która uszkodzi twoje systemy lub dane, na przykład, usuwając istotne pliki."
Uwaga: zawsze zgodnie z dokumentacją IBM MQ (Referencja administracyjna), istnieje również punkt końcowy HTTP pod
/admin/action/qmgr/{qmgrName}/mqsc
, aby uruchomić równoważne polecenie MQSC do tworzenia usługi (DEFINE SERVICE
). Ten aspekt nie został jeszcze tutaj omówiony.
Tworzenie / usuwanie usługi za pomocą PCF do zdalnego wykonania programu można wykonać za pomocą punch-q:
Przykład 1
W logach IBM MQ można przeczytać, że polecenie zostało pomyślnie wykonane:
Możesz również enumerować istniejące programy na maszynie (tutaj /bin/doesnotexist
... nie istnieje):
Bądź świadomy, że uruchomienie programu jest asynchroniczne. Dlatego potrzebujesz drugiego elementu, aby wykorzystać exploit (nasłuchiwacz dla odwrotnej powłoki, tworzenie pliku na innej usłudze, eksfiltracja danych przez sieć ...)
Przykład 2
Dla łatwej odwrotnej powłoki, punch-q proponuje również dwa ładunki odwrotnej powłoki:
Jeden z bash
Jeden z perl
Oczywiście możesz zbudować własny za pomocą polecenia execute
.
Dla bash:
Dla perla:
Możesz zagłębić się w dokumentację IBM MQ i bezpośrednio użyć biblioteki pymqi w Pythonie, aby przetestować konkretne polecenie PCF, które nie jest zaimplementowane w punch-q.
Example:
Jeśli nie możesz znaleźć nazw stałych, możesz odwołać się do dokumentacji IBM MQ.
Przykład dla
MQCMD_REFRESH_CLUSTER
(Decimal = 73). Wymaga parametruMQCA_CLUSTER_NAME
(Decimal = 2029), który może być*
(Dok: ):
Jeśli chcesz przetestować zachowanie IBM MQ i exploity, możesz skonfigurować lokalne środowisko oparte na Dockerze:
Posiadanie konta na ibm.com i cloud.ibm.com.
Utwórz kontenerowy IBM MQ z:
Domyślnie uwierzytelnianie jest włączone, nazwa użytkownika to admin
, a hasło to passw0rd
(zmienna środowiskowa MQ_ADMIN_PASSWORD
). Tutaj nazwa menedżera kolejek została ustawiona na MYQUEUEMGR
(zmienna MQ_QMGR_NAME
).
Powinieneś mieć IBM MQ uruchomione i działające z otwartymi portami:
Stare wersje obrazów dockera IBM MQ znajdują się pod adresem: https://hub.docker.com/r/ibmcom/mq/.