1883 - Pentesting MQTT (Mosquitto)

Reading time: 5 minutes

Basic Information

MQ Telemetry Transport (MQTT) відомий як протокол обміну повідомленнями з публікацією/підпискою, який вирізняється своєю надзвичайною простотою та легкістю. Цей протокол спеціально розроблений для середовищ, де пристрої мають обмежені можливості та працюють через мережі, які характеризуються низькою пропускною здатністю, високою затримкою або ненадійними з'єднаннями. Основні цілі MQTT включають мінімізацію використання мережевої пропускної здатності та зменшення навантаження на ресурси пристроїв. Крім того, він прагне підтримувати надійну комунікацію та забезпечувати певний рівень гарантії доставки. Ці цілі роблять MQTT надзвичайно придатним для зростаючої сфери взаємодії між машинами (M2M) та Інтернету речей (IoT), де важливо ефективно з'єднувати безліч пристроїв. Більше того, MQTT є дуже корисним для мобільних додатків, де збереження пропускної здатності та заряду батареї є критично важливим.

Default port: 1883

PORT     STATE SERVICE                 REASON
1883/tcp open  mosquitto version 1.4.8 syn-ack

Інспекція трафіку

When a CONNECT packet is received by MQTT brokers, a CONNACK packet is sent back. This packet contains a return code which is crucial for understanding the connection status. A return code of 0x00 means that the credentials have been accepted, signifying a successful connection. On the other hand, a return code of 0x05 signals that the credentials are invalid, thus preventing the connection.

For instance, if the broker rejects the connection due to invalid credentials, the scenario would look something like this:

{
"returnCode": "0x05",
"description": "Connection Refused, not authorized"
}

Brute-Force MQTT

Pentesting MQTT

Аутентифікація є абсолютно необов'язковою і навіть якщо аутентифікація виконується, шифрування за замовчуванням не використовується (облікові дані надсилаються у відкритому тексті). Атаки MITM все ще можуть бути виконані для викрадення паролів.

Щоб підключитися до служби MQTT, ви можете використовувати: https://github.com/bapowell/python-mqtt-client-shell і підписатися на всі теми, виконавши:

> connect (NOTICE that you need to indicate before this the params of the connection, by default 127.0.0.1:1883)
> subscribe "#" 1
> subscribe "$SYS/#"

Ви також можете використовувати https://github.com/akamai-threat-research/mqtt-pwn

Ви також можете використовувати:

apt-get install mosquitto mosquitto-clients
mosquitto_sub -t 'test/topic' -v #Subscribe to 'test/topic'
mosquitto_sub -h <host-ip> -t "#" -v #Subscribe to ALL topics.

Або ви можете виконати цей код, щоб спробувати підключитися до служби MQTT без аутентифікації, підписатися на всі теми та слухати їх:

#This is a modified version of https://github.com/Warflop/IOT-MQTT-Exploit/blob/master/mqtt.py
import paho.mqtt.client as mqtt
import time
import os

HOST = "127.0.0.1"
PORT = 1883

def on_connect(client, userdata, flags, rc):
client.subscribe('#', qos=1)
client.subscribe('$SYS/index.html#')

def on_message(client, userdata, message):
print('Topic: %s | QOS: %s  | Message: %s' % (message.topic, message.qos, message.payload))

def main():
client = mqtt.Client()
client.on_connect = on_connect
client.on_message = on_message
client.connect(HOST, PORT)
client.loop_start()
#time.sleep(10)
#client.loop_stop()

if __name__ == "__main__":
main()

Патерн Публікації/Підписки

Модель публікації/підписки складається з:

• Publisher: публікує повідомлення в одну (або кілька) теми в брокері.
• Subscriber: підписується на одну (або кілька) теми в брокері та отримує всі повідомлення, надіслані від публікатора.
• Broker: маршрутизує всі повідомлення від публікаторів до підписників.
• Topic: складається з одного або кількох рівнів, які розділені косою рискою (наприклад, /smartshouse/livingroom/temperature).

Формат Пакета

Кожен пакет MQTT містить фіксований заголовок (Рисунок 02).Рисунок 02: Фіксований Заголовок

Типи Пакетів

• CONNECT (1): Ініційований клієнтом для запиту з'єднання з сервером.
• CONNACK (2): Підтвердження сервера про успішне з'єднання.
• PUBLISH (3): Використовується для надсилання повідомлення від клієнта до сервера або навпаки.
• PUBACK (4): Підтвердження пакета PUBLISH.
• PUBREC (5): Частина протоколу доставки повідомлень, що забезпечує отримання повідомлення.
• PUBREL (6): Додаткове підтвердження доставки повідомлення, що вказує на звільнення повідомлення.
• PUBCOMP (7): Остання частина протоколу доставки повідомлень, що вказує на завершення.
• SUBSCRIBE (8): Запит клієнта на прослуховування повідомлень з теми.
• SUBACK (9): Підтвердження сервера про запит SUBSCRIBE.
• UNSUBSCRIBE (10): Запит клієнта на припинення отримання повідомлень з теми.
• UNSUBACK (11): Відповідь сервера на запит UNSUBSCRIBE.
• PINGREQ (12): Повідомлення серцевого ритму, надіслане клієнтом.
• PINGRESP (13): Відповідь сервера на повідомлення серцевого ритму.
• DISCONNECT (14): Ініційований клієнтом для завершення з'єднання.
• Два значення, 0 і 15, позначені як зарезервовані, і їх використання заборонено.

Shodan

• port:1883 MQTT