5601 - Pentesting Kibana
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kibana jest znana ze swojej zdolności do wyszukiwania i wizualizacji danych w Elasticsearch, zazwyczaj działając na porcie 5601. Służy jako interfejs do monitorowania, zarządzania i funkcji bezpieczeństwa klastra Elastic Stack.
Proces uwierzytelniania w Kibana jest ściśle związany z danymi uwierzytelniającymi używanymi w Elasticsearch. Jeśli uwierzytelnianie w Elasticsearch jest wyłączone, do Kibana można uzyskać dostęp bez żadnych danych uwierzytelniających. Z drugiej strony, jeśli Elasticsearch jest zabezpieczony danymi uwierzytelniającymi, te same dane są wymagane do uzyskania dostępu do Kibana, co utrzymuje identyczne uprawnienia użytkowników na obu platformach. Dane uwierzytelniające można znaleźć w pliku /etc/kibana/kibana.yml. Jeśli te dane nie dotyczą użytkownika kibana_system, mogą oferować szersze prawa dostępu, ponieważ dostęp użytkownika kibana_system jest ograniczony do monitorowania API i indeksu .kibana.
Po zabezpieczeniu dostępu do Kibana, zaleca się podjęcie kilku działań:
Priorytetem powinno być eksplorowanie danych z Elasticsearch.
Możliwość zarządzania użytkownikami, w tym edytowania, usuwania lub tworzenia nowych użytkowników, ról lub kluczy API, znajduje się w sekcji Zarządzanie Stosem -> Użytkownicy/Role/Klucze API.
Ważne jest, aby sprawdzić zainstalowaną wersję Kibana pod kątem znanych luk w zabezpieczeniach, takich jak luka RCE zidentyfikowana w wersjach przed 6.6.0 (Więcej informacji).
W przypadkach, gdy SSL/TLS nie jest włączone, należy dokładnie ocenić potencjał wycieku wrażliwych informacji.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)