1414 - Pentesting IBM MQ
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
IBM MQ je IBM tehnologija za upravljanje redovima poruka. Kao i druge message broker tehnologije, namenjena je za primanje, skladištenje, obradu i klasifikaciju informacija između proizvođača i potrošača.
Podrazumevano, izlaže IBM MQ TCP port 1414. Ponekad, HTTP REST API može biti izložen na portu 9443. Metrike (Prometheus) takođe mogu biti dostupne sa TCP porta 9157.
IBM MQ TCP port 1414 može se koristiti za manipulaciju porukama, redovima, kanalima, ... ali takođe za kontrolu instance.
IBM pruža opsežnu tehničku dokumentaciju dostupnu na https://www.ibm.com/docs/en/ibm-mq.
Preporučeni alat za jednostavnu eksploataciju je punch-q, uz korišćenje Dockera. Alat aktivno koristi Python biblioteku pymqi
.
Za ručniji pristup, koristite Python biblioteku pymqi. IBM MQ dependencies su potrebne.
IBM MQ dependencies treba instalirati i učitati:
Kreirajte nalog (IBMid) na https://login.ibm.com/.
Preuzmite IBM MQ biblioteke sa https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm%7EWebSphere&product=ibm/WebSphere/WebSphere+MQ&release=9.0.0.4&platform=All&function=fixId&fixids=9.0.0.4-IBM-MQC-*,9.0.0.4-IBM-MQ-Install-Java-All,9.0.0.4-IBM-MQ-Java-InstallRA&useReleaseAsTarget=true&includeSupersedes=0&source=fc. Za Linux x86_64 to je 9.0.0.4-IBM-MQC-LinuxX64.tar.gz.
Dekompresujte (tar xvzf 9.0.0.4-IBM-MQC-LinuxX64.tar.gz
).
Pokrenite sudo ./mqlicense.sh
da prihvatite uslove licenci.
If you are under Kali Linux, modify the file
mqlicense.sh
: remove/comment the following lines (between lines 105-110):
Instalirajte ove pakete:
Zatim, privremeno dodajte .so
datoteke u LD: export LD_LIBRARY_PATH=/opt/mqm/lib64
, pre nego što pokrenete druge alate koji koriste ove zavisnosti.
Zatim, možete klonirati projekat pymqi: sadrži zanimljive delove koda, konstante, ... Ili možete direktno instalirati biblioteku sa: pip install pymqi
.
Jednostavno koristite: sudo docker run --rm -ti leonjza/punch-q
.
Klonirajte projekat punch-q zatim pratite uputstvo za instalaciju (pip install -r requirements.txt && python3 setup.py install
).
Nakon toga, može se koristiti sa punch-q
komandom.
Možete pokušati da enumerišete ime menadžera reda, korisnike, kanale i redove sa punch-q ili pymqi.
Ponekad, ne postoji zaštita protiv dobijanja imena Menadžera reda:
punch-q koristi internu (modificirajuću) listu reči za pronalaženje postojećih kanala. Primer upotrebe:
Dešava se da neki IBM MQ primeri prihvataju neautentifikovane MQ zahteve, tako da --username / --password
nije potreban. Naravno, prava pristupa takođe mogu varirati.
Čim dobijemo jedno ime kanala (ovde: DEV.ADMIN.SVRCONN
), možemo enumerisati sve ostale kanale.
Enumeracija se u osnovi može uraditi sa ovim kodom code/examples/dis_channels.py
iz pymqi:
... Ali punch-q takođe uključuje taj deo (sa više informacija!). Može se pokrenuti sa:
Postoji deo koda sa pymqi (dis_queues.py
), ali punch-q omogućava da se dobiju dodatne informacije o redovima:
Možete ciljati redove/kanale da osluškujete / preuzimate poruke iz njih (nedestruktivna operacija). Primeri:
Ne oklevajte da iterirate kroz sve identifikovane redove.
Neki detalji pre nastavka: IBM MQ se može kontrolisati na više načina: MQSC, PCF, Control Command. Neki opšti spiskovi mogu se naći u IBM MQ dokumentaciji. PCF (Programabilni komandni formati) je ono na čemu se fokusiramo da bismo daljinski interagovali sa instancom. punch-q i dalje pymqi se zasnivaju na PCF interakcijama.
Možete pronaći spisak PCF komandi:
Jedna zanimljiva komanda je
MQCMD_CREATE_SERVICE
i njena dokumentacija je dostupna ovde. Kao argument uzimaStartCommand
koji pokazuje na lokalni program na instanci (primer:/bin/sh
).Takođe postoji upozorenje o komandi u dokumentaciji: "Pažnja: Ova komanda omogućava korisniku da izvrši proizvoljnu komandu sa mqm ovlašćenjem. Ako se dodele prava za korišćenje ove komande, zlonameran ili nepažljiv korisnik mogao bi definisati servis koji oštećuje vaše sisteme ili podatke, na primer, brisanjem bitnih fajlova."
Napomena: uvek prema IBM MQ dokumentaciji (Referenca za administraciju), postoji i HTTP endpoint na
/admin/action/qmgr/{qmgrName}/mqsc
za izvršenje ekvivalentne MQSC komande za kreiranje servisa (DEFINE SERVICE
). Ovaj aspekt ovde još nije pokriven.
Kreiranje / brisanje servisa sa PCF za daljinsko izvršenje programa može se obaviti pomoću punch-q:
Primer 1
U logovima IBM MQ možete pročitati da je komanda uspešno izvršena:
Takođe možete enumerisati postojeće programe na mašini (ovde /bin/doesnotexist
... ne postoji):
Budite svesni da je pokretanje programa asinhrono. Tako da vam je potreban drugi element da iskoristite eksploataciju (listener za reverznu ljusku, kreiranje datoteka na različitim servisima, eksfiltracija podataka kroz mrežu ...)
Primer 2
Za jednostavnu reverznu ljusku, punch-q takođe predlaže dva payload-a za reverznu ljusku:
Jedan sa bash-om
Jedan sa perl-om
Naravno, možete napraviti prilagođeni koristeći komandu execute
.
Za bash:
Za perl:
Možete istražiti IBM MQ dokumentaciju i direktno koristiti pymqi python biblioteku za testiranje specifične PCF komande koja nije implementirana u punch-q.
Example:
Ako ne možete pronaći imena konstanti, možete se pozvati na IBM MQ dokumentaciju.
Primer za
MQCMD_REFRESH_CLUSTER
(Decimal = 73). Potreban je parametarMQCA_CLUSTER_NAME
(Decimal = 2029) koji može biti*
(Dok: ):
Ako želite da testirate ponašanje i eksploate IBM MQ, možete postaviti lokalno okruženje zasnovano na Docker-u:
Imati nalog na ibm.com i cloud.ibm.com.
Kreirati kontejnerizovani IBM MQ sa:
Podrazumevano, autentifikacija je omogućena, korisničko ime je admin
i lozinka je passw0rd
(promenljiva okruženja MQ_ADMIN_PASSWORD
).
Ovde je ime menadžera reda postavljeno na MYQUEUEMGR
(promenljiva MQ_QMGR_NAME
).
Trebalo bi da imate IBM MQ pokrenut i da su njegovi portovi izloženi:
Stara verzija IBM MQ docker slika se nalazi na: https://hub.docker.com/r/ibmcom/mq/.