15672 - Pentesting RabbitMQ Management
Wskazówka dotycząca nagrody za błąd: Zarejestruj się na platformie Intigriti, premium platformie nagród za błędy stworzonej przez hakerów, dla hakerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody aż do $100,000!
Podstawowe informacje
Możesz dowiedzieć się więcej o RabbitMQ w 5671,5672 - Testowanie penetracyjne AMQP. Na tym porcie możesz znaleźć konsolę internetową zarządzania RabbitMQ, jeśli wtyczka zarządzania jest włączona. Główna strona powinna wyglądać tak:
Wyliczanie
Domyślne dane logowania to "gość":"gość". Jeśli nie działają, możesz spróbować przeprowadzić atak siłowy na logowanie.
Aby ręcznie uruchomić ten moduł, musisz wykonać:
Gdy poprawnie się uwierzytelnisz, zobaczysz konsolę administratora:
Ponadto, jeśli masz ważne dane uwierzytelniające, możesz znaleźć interesujące informacje pod adresem http://localhost:15672/api/connections
Zauważ także, że jest możliwe publikowanie danych wewnątrz kolejki za pomocą interfejsu API tego usługi poprzez żądanie:
Łamanie hasha
Shodan
port:15672 http
Wskazówka dotycząca nagrody za błąd: Zarejestruj się na platformie Intigriti, premium platformie do zgłaszania błędów stworzonej przez hakerów, dla hakerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody aż do $100,000!
Last updated