11211 - Pentesting Memcache

Support HackTricks

Protokollinformationen

Von wikipedia:

Memcached (Aussprache: mem-cashed, mem-cash-dee) ist ein allgemeines verteiltes Speichercaching System. Es wird häufig verwendet, um dynamische, datenbankgestützte Websites zu beschleunigen, indem Daten und Objekte im RAM zwischengespeichert werden, um die Anzahl der Lesevorgänge einer externen Datenquelle (wie einer Datenbank oder API) zu reduzieren.

Obwohl Memcached SASL unterstützt, sind die meisten Instanzen ohne Authentifizierung exponiert.

Standardport: 11211

PORT      STATE SERVICE
11211/tcp open  unknown

Enumeration

Manual

Um alle Informationen, die in einer Memcache-Instanz gespeichert sind, zu exfiltrieren, müssen Sie:

  1. Slabs mit aktiven Elementen finden

  2. Die Schlüsselnamen der zuvor erkannten Slabs abrufen

  3. Die gespeicherten Daten durch Abrufen der Schlüsselnamen exfiltrieren

Denken Sie daran, dass dieser Dienst nur ein Cache ist, sodass Daten erscheinen und verschwinden können.

echo "version" | nc -vn -w 1 <IP> 11211      #Get version
echo "stats" | nc -vn -w 1 <IP> 11211        #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211  #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211  #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211  #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211  #Get saved info

#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'

Manual2

sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat  --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)

Automatisch

nmap -n -sV --script memcached-info -p 11211 <IP>   #Just gather info
msf > use auxiliary/gather/memcached_extractor      #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible

Dumping Memcache Keys

Im Bereich von memcache, einem Protokoll, das bei der Organisation von Daten durch Slabs hilft, gibt es spezifische Befehle zur Inspektion der gespeicherten Daten, jedoch mit bemerkenswerten Einschränkungen:

  1. Schlüssel können nur nach Slab-Klasse ausgegeben werden, wobei Schlüssel ähnlicher Inhaltsgröße gruppiert werden.

  2. Es gibt eine Begrenzung von einer Seite pro Slab-Klasse, was 1 MB Daten entspricht.

  3. Diese Funktion ist inoffiziell und kann jederzeit eingestellt werden, wie in Community-Foren besprochen.

Die Einschränkung, nur 1 MB aus potenziell Gigabytes an Daten ausgeben zu können, ist besonders signifikant. Diese Funktionalität kann jedoch dennoch Einblicke in die Nutzungsmuster der Schlüssel bieten, abhängig von den spezifischen Bedürfnissen. Für diejenigen, die weniger an den Mechaniken interessiert sind, zeigt ein Besuch im Tools-Bereich Hilfsmittel für umfassende Dumps. Alternativ wird der Prozess der Verwendung von telnet für die direkte Interaktion mit memcached-Setups im Folgenden beschrieben.

How it Works

Die Speicherorganisation von Memcache ist entscheidend. Das Starten von memcache mit der Option "-vv" zeigt die Slab-Klassen, die es generiert, wie unten dargestellt:

$ memcached -vv
slab class   1: chunk size        96 perslab   10922
[...]

Um alle derzeit vorhandenen Slabs anzuzeigen, wird der folgende Befehl verwendet:

stats slabs

Hinzufügen eines einzelnen Schlüssels zu memcached 1.4.13 veranschaulicht, wie Slab-Klassen befüllt und verwaltet werden. Zum Beispiel:

set mykey 0 60 1
1
STORED

Die Ausführung des Befehls "stats slabs" nach der Schlüsseladdition liefert detaillierte Statistiken über die Slab-Nutzung:

stats slabs
[...]

Dieser Output zeigt die aktiven Slab-Typen, genutzten Chunks und Betriebsstatistiken und bietet Einblicke in die Effizienz von Lese- und Schreiboperationen.

Ein weiterer nützlicher Befehl, "stats items", liefert Daten zu Eviktionen, Speicherbeschränkungen und Lebenszyklen von Elementen:

stats items
[...]

Diese Statistiken ermöglichen fundierte Annahmen über das Caching-Verhalten von Anwendungen, einschließlich der Cache-Effizienz für verschiedene Inhaltsgrößen, der Speicherzuweisung und der Kapazität zum Caching großer Objekte.

Dumping Keys

Für Versionen vor 1.4.31 werden die Schlüssel nach Slab-Klasse mit folgendem Befehl ausgegeben:

stats cachedump <slab class> <number of items to dump>

Zum Beispiel, um einen Schlüssel in Klasse #1 zu dumpen:

stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END

Diese Methode iteriert über Slab-Klassen, extrahiert und optional Schlüsselwerte.

DUMPING MEMCACHE KEYS (VER 1.4.31+)

Mit der memcache-Version 1.4.31 und höher wird eine neue, sicherere Methode zum Dumpen von Schlüsseln in einer Produktionsumgebung eingeführt, die den nicht-blockierenden Modus nutzt, wie in den Release-Notizen beschrieben. Dieser Ansatz erzeugt umfangreiche Ausgaben, daher wird empfohlen, den Befehl 'nc' zur Effizienz zu verwenden. Beispiele sind:

echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

DUMPING TOOLS

Table from here.

Programmier­sprachenWerkzeugeFunktionalität

PHP

Gibt Schlüsselnamen aus.

Perl

Gibt Schlüssel und Werte aus

Ruby

Gibt Schlüsselnamen aus.

Perl

Tool im CPAN-Modul

ached/)

PHP

Memcache Überwachungs-GUI, die auch das Dumpen von Schlüsseln ermöglicht

libmemcached

Friert Ihren Memcached-Prozess ein!!! Seien Sie vorsichtig, wenn Sie dies in der Produktion verwenden. Dennoch können Sie damit die 1MB-Beschränkung umgehen und wirklich alle Schlüssel dumpen.

Fehlerbehebung

1MB Datenlimit

Beachten Sie, dass vor memcached 1.4 Objekte, die größer als 1MB sind, aufgrund der standardmäßigen maximalen Slab-Größe nicht gespeichert werden können.

Setzen Sie niemals ein Timeout > 30 Tage!

Wenn Sie versuchen, einen Schlüssel mit einem Timeout größer als das erlaubte Maximum zu „setzen“ oder „hinzuzufügen“, erhalten Sie möglicherweise nicht das, was Sie erwarten, da memcached den Wert dann als Unix-Zeitstempel behandelt. Wenn der Zeitstempel auch in der Vergangenheit liegt, wird überhaupt nichts getan. Ihr Befehl schlägt stillschweigend fehl.

Wenn Sie also die maximale Lebensdauer verwenden möchten, geben Sie 2592000 an. Beispiel:

set my_key 0 2592000 1
1

Verschwundene Schlüssel bei Überlauf

Trotz der Dokumentation, die etwas über das Überlaufen eines Wertes mit 64 Bit sagt, führt die Verwendung von „incr“ dazu, dass der Wert verschwindet. Er muss erneut mit „add“/„set“ erstellt werden.

Replikation

memcached selbst unterstützt keine Replikation. Wenn Sie es wirklich benötigen, müssen Sie Drittanbieter-Lösungen verwenden:

  • repcached: Multi-Master asynchrone Replikation (memcached 1.2 Patch-Set)

  • Couchbase memcached-Schnittstelle: Verwenden Sie CouchBase als memcached Drop-in

  • yrmcds: memcached-kompatibler Master-Slave Key-Value-Speicher

  • twemproxy (auch bekannt als nutcracker): Proxy mit memcached-Unterstützung

Befehle Cheat-Sheet

Memcache Commands

Shodan

  • port:11211 "STAT pid"

  • "STAT pid"

Referenzen

Unterstützen Sie HackTricks

Last updated