5984,6984 - Pentesting CouchDB
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
CouchDB ist eine vielseitige und leistungsstarke dokumentenorientierte Datenbank, die Daten mithilfe einer Schlüssel-Wert-Karten-Struktur innerhalb jedes Dokuments organisiert. Felder innerhalb des Dokuments können als Schlüssel/Wert-Paare, Listen oder Karten dargestellt werden, was Flexibilität bei der Datenspeicherung und -abfrage bietet.
Jedes Dokument, das in CouchDB gespeichert ist, erhält eine eindeutige Kennung (_id
) auf Dokumentenebene. Darüber hinaus wird jeder vorgenommenen und in der Datenbank gespeicherten Änderung eine Versionsnummer (_rev
) zugewiesen. Diese Versionsnummer ermöglicht eine effiziente Verfolgung und Verwaltung von Änderungen und erleichtert die einfache Abfrage und Synchronisierung von Daten innerhalb der Datenbank.
Standardport: 5984(http), 6984(https)
Dies sendet eine GET-Anfrage an die installierte CouchDB-Instanz. Die Antwort sollte ungefähr wie eine der folgenden aussehen:
Beachten Sie, dass Sie, wenn Sie auf die Wurzel von CouchDB zugreifen und eine 401 Unauthorized
-Antwort mit etwas wie {"error":"unauthorized","reason":"Authentication required."}
erhalten, nicht auf das Banner oder einen anderen Endpunkt zugreifen können.
Dies sind die Endpunkte, auf die Sie mit einer GET-Anfrage zugreifen und einige interessante Informationen extrahieren können. Sie finden weitere Endpunkte und detailliertere Beschreibungen in der CouchDB-Dokumentation.
/_active_tasks
Liste der laufenden Aufgaben, einschließlich des Aufgabentyps, Namens, Status und Prozess-ID.
/_all_dbs
Gibt eine Liste aller Datenbanken in der CouchDB-Instanz zurück.
**/_cluster_setup
** Gibt den Status des Knotens oder Clusters gemäß dem Cluster-Setup-Assistenten zurück.
/_db_updates
Gibt eine Liste aller Datenbankereignisse in der CouchDB-Instanz zurück. Die Existenz der _global_changes
-Datenbank ist erforderlich, um diesen Endpunkt zu verwenden.
/_membership
Zeigt die Knoten an, die Teil des Clusters sind, als cluster_nodes
. Das Feld all_nodes
zeigt alle Knoten an, die dieser Knoten kennt, einschließlich derjenigen, die Teil des Clusters sind.
/_scheduler/jobs
Liste der Replikationsjobs. Jede Jobbeschreibung enthält Quell- und Zielinformationen, Replikations-ID, eine Historie der letzten Ereignisse und einige andere Dinge.
/_scheduler/docs
Liste der Replikationsdokumentzustände. Enthält Informationen über alle Dokumente, auch in completed
und failed
Zuständen. Für jedes Dokument gibt es die Dokument-ID, die Datenbank, die Replikations-ID, Quelle und Ziel sowie andere Informationen zurück.
/_scheduler/docs/{replicator_db}
/_scheduler/docs/{replicator_db}/{docid}
/_node/{node-name}
Der /_node/{node-name}
-Endpunkt kann verwendet werden, um den Erlang-Knotennamen des Servers zu bestätigen, der die Anfrage verarbeitet. Dies ist am nützlichsten, wenn Sie auf /_node/_local
zugreifen, um diese Informationen abzurufen.
/_node/{node-name}/_stats
Die _stats
-Ressource gibt ein JSON-Objekt zurück, das die Statistiken für den laufenden Server enthält. Der Literalstring _local
dient als Alias für den lokalen Knotennamen, sodass für alle Statistiken-URLs {node-name}
durch _local
ersetzt werden kann, um mit den Statistiken des lokalen Knotens zu interagieren.
/_node/{node-name}/_system
Die _systemressource gibt ein JSON-Objekt zurück, das verschiedene systemweite Statistiken für den laufenden Server enthält. Sie können ___local
als {node-name} verwenden, um aktuelle Knoteninformationen zu erhalten.
/_node/{node-name}/_restart
/_up
Bestätigt, dass der Server aktiv, betriebsbereit und bereit ist, auf Anfragen zu reagieren. Wenn maintenance_mode
true
oder nolb
ist, gibt der Endpunkt eine 404-Antwort zurück.
**/_uuids
** Fordert eine oder mehrere Universally Unique Identifiers (UUIDs) von der CouchDB-Instanz an.
**/_reshard
** Gibt eine Anzahl von abgeschlossenen, fehlgeschlagenen, laufenden, gestoppten und insgesamt Jobs zusammen mit dem Status des Reshardings im Cluster zurück.
Weitere interessante Informationen können wie hier erklärt extrahiert werden: https://lzone.de/cheat-sheet/CouchDB
Wenn diese Anfrage mit einem 401 nicht autorisiert antwortet, benötigen Sie gültige Anmeldeinformationen, um auf die Datenbank zuzugreifen:
Um gültige Anmeldeinformationen zu finden, könnten Sie versuchen, den Dienst zu bruteforcen.
Dies ist ein Beispiel für eine CouchDB Antwort, wenn Sie genug Berechtigungen haben, um Datenbanken aufzulisten (Es ist nur eine Liste von DBs):
Sie können einige Datenbankinformationen (wie die Anzahl der Dateien und deren Größen) abrufen, indem Sie auf den Datenbanknamen zugreifen:
Listet jeden Eintrag in einer Datenbank auf
Lesen Sie den Inhalt eines Dokuments in einer Datenbank:
Dank der Unterschiede zwischen Erlang- und JavaScript-JSON-Parsern könnten Sie einen Admin-Benutzer mit den Anmeldeinformationen hacktricks:hacktricks
mit der folgenden Anfrage erstellen:
Weitere Informationen zu dieser Schwachstelle hier.
Beispiel von hier.
In der CouchDB-Dokumentation, insbesondere im Abschnitt über die Cluster-Einrichtung (link), wird die Verwendung von Ports durch CouchDB im Clustermodus besprochen. Es wird erwähnt, dass, wie im Standalone-Modus, der Port 5984
verwendet wird. Zusätzlich ist der Port 5986
für node-lokale APIs vorgesehen, und wichtig ist, dass Erlang den TCP-Port 4369
für den Erlang Port Mapper Daemon (EPMD) benötigt, um die Kommunikation zwischen den Knoten innerhalb eines Erlang-Clusters zu erleichtern. Dieses Setup bildet ein Netzwerk, in dem jeder Knoten mit jedem anderen Knoten verbunden ist.
Ein wichtiger Sicherheitshinweis wird bezüglich des Ports 4369
hervorgehoben. Wenn dieser Port über das Internet oder ein untrusted Netzwerk zugänglich gemacht wird, hängt die Sicherheit des Systems stark von einem einzigartigen Identifikator ab, der als "Cookie" bekannt ist. Dieses Cookie fungiert als Schutzmaßnahme. Zum Beispiel könnte in einer gegebenen Prozessliste das Cookie mit dem Namen "monster" beobachtet werden, was auf seine operative Rolle im Sicherheitsrahmen des Systems hinweist.
Für diejenigen, die verstehen möchten, wie dieses "Cookie" für Remote Code Execution (RCE) im Kontext von Erlang-Systemen ausgenutzt werden kann, steht ein spezieller Abschnitt für weiterführende Lektüre zur Verfügung. Er beschreibt die Methoden zur unbefugten Nutzung von Erlang-Cookies, um Kontrolle über Systeme zu erlangen. Sie können den detaillierten Leitfaden zum Missbrauch von Erlang-Cookies für RCE hier erkunden.
Beispiel von hier.
Eine kürzlich offengelegte Schwachstelle, CVE-2018-8007, die Apache CouchDB betrifft, wurde untersucht und zeigte, dass die Ausnutzung Schreibberechtigungen für die Datei local.ini
erfordert. Obwohl dies aufgrund von Sicherheitsbeschränkungen nicht direkt auf das ursprüngliche Zielsystem anwendbar ist, wurden Änderungen vorgenommen, um Schreibzugriff auf die Datei local.ini
zu gewähren, um Erkundungszwecke zu ermöglichen. Detaillierte Schritte und Codebeispiele sind unten aufgeführt, die den Prozess demonstrieren.
Zuerst wird die Umgebung vorbereitet, indem sichergestellt wird, dass die Datei local.ini
beschreibbar ist, was durch Auflisten der Berechtigungen überprüft wird:
Um die Schwachstelle auszunutzen, wird ein curl-Befehl ausgeführt, der die cors/origins
-Konfiguration in local.ini
anvisiert. Dies injiziert einen neuen Ursprung zusammen mit zusätzlichen Befehlen im Abschnitt [os_daemons]
, um beliebigen Code auszuführen:
Nachfolgende Überprüfungen zeigen die injizierte Konfiguration in local.ini
, indem sie mit einem Backup verglichen wird, um die Änderungen hervorzuheben:
Ursprünglich existiert die erwartete Datei (/tmp/0xdf
) nicht, was darauf hindeutet, dass der injizierte Befehl noch nicht ausgeführt wurde. Weitere Untersuchungen zeigen, dass Prozesse im Zusammenhang mit CouchDB laufen, einschließlich eines, der möglicherweise den injizierten Befehl ausführen könnte:
Durch das Beenden des identifizierten CouchDB-Prozesses und das Zulassen, dass das System ihn automatisch neu startet, wird die Ausführung des injizierten Befehls ausgelöst, was durch das Vorhandensein der zuvor fehlenden Datei bestätigt wird:
Diese Erkundung bestätigt die Durchführbarkeit der Ausnutzung von CVE-2018-8007 unter bestimmten Bedingungen, insbesondere der Anforderung nach schreibbarem Zugriff auf die local.ini
-Datei. Die bereitgestellten Codebeispiele und Verfahrensschritte bieten eine klare Anleitung zur Replikation des Exploits in einer kontrollierten Umgebung.
Für weitere Details zu CVE-2018-8007 siehe die Mitteilung von mdsec: CVE-2018-8007.
Beispiel von hier.
Eine Schwachstelle, bekannt als CVE-2017-12636, wurde untersucht, die die Codeausführung über den CouchDB-Prozess ermöglicht, obwohl spezifische Konfigurationen deren Ausnutzung verhindern können. Trotz zahlreicher Proof of Concept (POC)-Referenzen, die online verfügbar sind, sind Anpassungen erforderlich, um die Schwachstelle in der CouchDB-Version 2 auszunutzen, die sich von der häufig angegriffenen Version 1.x unterscheidet. Die ersten Schritte bestehen darin, die CouchDB-Version zu überprüfen und das Fehlen des erwarteten Abfrage-Server-Pfades zu bestätigen:
Um CouchDB Version 2.0 zu unterstützen, wird ein neuer Pfad verwendet:
Versuche, einen neuen Abfrage-Server hinzuzufügen und zu aktivieren, stießen auf berechtigungsbezogene Fehler, wie die folgende Ausgabe zeigt:
Weitere Untersuchungen ergaben Berechtigungsprobleme mit der local.ini
-Datei, die nicht beschreibbar war. Durch die Änderung der Dateiberechtigungen mit Root- oder Homer-Zugriff wurde es möglich, fortzufahren:
Nachfolgende Versuche, den Abfrageserver hinzuzufügen, waren erfolgreich, wie die fehlenden Fehlermeldungen in der Antwort zeigen. Die erfolgreiche Modifikation der local.ini
-Datei wurde durch einen Dateivergleich bestätigt:
Der Prozess setzte sich mit der Erstellung einer Datenbank und eines Dokuments fort, gefolgt von einem Versuch, Code über eine benutzerdefinierte Ansicht, die auf den neu hinzugefügten Abfrageserver abgebildet ist, auszuführen:
Eine Zusammenfassung mit einer alternativen Payload bietet weitere Einblicke in die Ausnutzung von CVE-2017-12636 unter bestimmten Bedingungen. Nützliche Ressourcen zur Ausnutzung dieser Schwachstelle sind:
port:5984 couchdb
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)