1883 - Pentesting MQTT (Mosquitto)

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

MQ Telemetry Transport (MQTT) відомий як протокол обміну повідомленнями з публікацією/підпискою, який вирізняється своєю надзвичайною простотою та легкістю. Цей протокол спеціально розроблений для середовищ, де пристрої мають обмежені можливості та працюють через мережі, які характеризуються низькою пропускною здатністю, високою затримкою або ненадійними з'єднаннями. Основні цілі MQTT включають мінімізацію використання мережевої пропускної здатності та зменшення навантаження на ресурси пристроїв. Крім того, він прагне підтримувати надійну комунікацію та забезпечувати певний рівень гарантії доставки. Ці цілі роблять MQTT надзвичайно придатним для зростаючої сфери машинної комунікації (M2M) та Інтернету речей (IoT), де важливо ефективно з'єднувати безліч пристроїв. Більше того, MQTT є дуже корисним для мобільних додатків, де збереження пропускної здатності та заряду батареї є критично важливим.

Default port: 1883

PORT     STATE SERVICE                 REASON
1883/tcp open  mosquitto version 1.4.8 syn-ack

Інспекція трафіку

When a CONNECT packet is received by MQTT brokers, a CONNACK packet is sent back. This packet contains a return code which is crucial for understanding the connection status. A return code of 0x00 means that the credentials have been accepted, signifying a successful connection. On the other hand, a return code of 0x05 signals that the credentials are invalid, thus preventing the connection.

For instance, if the broker rejects the connection due to invalid credentials, the scenario would look something like this:

{
"returnCode": "0x05",
"description": "Connection Refused, not authorized"
}

Brute-Force MQTT

Pentesting MQTT

Аутентифікація є абсолютно необов'язковою і навіть якщо аутентифікація виконується, шифрування за замовчуванням не використовується (облікові дані надсилаються у відкритому тексті). Атаки MITM все ще можуть бути виконані для викрадення паролів.

Щоб підключитися до служби MQTT, ви можете використовувати: https://github.com/bapowell/python-mqtt-client-shell і підписатися на всі теми, виконавши:

> connect (NOTICE that you need to indicate before this the params of the connection, by default 127.0.0.1:1883)
> subscribe "#" 1
> subscribe "$SYS/#"

Ви також можете використовувати https://github.com/akamai-threat-research/mqtt-pwn

Ви також можете використовувати:

apt-get install mosquitto mosquitto-clients
mosquitto_sub -t 'test/topic' -v #Subscribe to 'test/topic'
mosquitto_sub -h <host-ip> -t "#" -v #Subscribe to ALL topics.

Або ви можете виконати цей код, щоб спробувати підключитися до служби MQTT без аутентифікації, підписатися на всі теми та слухати їх:

#This is a modified version of https://github.com/Warflop/IOT-MQTT-Exploit/blob/master/mqtt.py
import paho.mqtt.client as mqtt
import time
import os

HOST = "127.0.0.1"
PORT = 1883

def on_connect(client, userdata, flags, rc):
client.subscribe('#', qos=1)
client.subscribe('$SYS/#')

def on_message(client, userdata, message):
print('Topic: %s | QOS: %s  | Message: %s' % (message.topic, message.qos, message.payload))

def main():
client = mqtt.Client()
client.on_connect = on_connect
client.on_message = on_message
client.connect(HOST, PORT)
client.loop_start()
#time.sleep(10)
#client.loop_stop()

if __name__ == "__main__":
main()

Більше інформації

звідси: https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b

Патерн Публікації/Підписки

Модель публікації/підписки складається з:

Публікатор: публікує повідомлення в одну (або кілька) теми в брокері.
Підписник: підписується на одну (або кілька) теми в брокері та отримує всі повідомлення, надіслані публікатором.
Брокер: маршрутизує всі повідомлення від публікаторів до підписників.
Тема: складається з одного або кількох рівнів, які розділені косою рискою (наприклад, /smartshouse/livingroom/temperature).

Формат Пакета

Кожен пакет MQTT містить фіксований заголовок (Рисунок 02). Рисунок 02: Фіксований Заголовок

Типи Пакетів

CONNECT (1): Ініційований клієнтом для запиту з'єднання з сервером.
CONNACK (2): Підтвердження сервера про успішне з'єднання.
PUBLISH (3): Використовується для надсилання повідомлення від клієнта до сервера або навпаки.
PUBACK (4): Підтвердження пакета PUBLISH.
PUBREC (5): Частина протоколу доставки повідомлень, що забезпечує отримання повідомлення.
PUBREL (6): Додаткова гарантія доставки повідомлення, що вказує на звільнення повідомлення.
PUBCOMP (7): Остання частина протоколу доставки повідомлень, що вказує на завершення.
SUBSCRIBE (8): Запит клієнта на прослуховування повідомлень з теми.
SUBACK (9): Підтвердження сервера про запит SUBSCRIBE.
UNSUBSCRIBE (10): Запит клієнта на припинення отримання повідомлень з теми.
UNSUBACK (11): Відповідь сервера на запит UNSUBSCRIBE.
PINGREQ (12): Повідомлення про серцебиття, надіслане клієнтом.
PINGRESP (13): Відповідь сервера на повідомлення про серцебиття.
DISCONNECT (14): Ініційований клієнтом для завершення з'єднання.
Два значення, 0 і 15, позначені як зарезервовані, і їх використання заборонено.

Shodan

port:1883 MQTT

Вивчайте та практикуйте Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

Previous1723 - Pentesting PPTP Next2049 - Pentesting NFS Service

Last updated 3 days ago