8086 - Pentesting InfluxDB
Last updated
Last updated
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας που υποστηρίζονται από τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
InfluxDB είναι μια ανοιχτού κώδικα βάση δεδομένων χρονοσειρών (TSDB) που αναπτύχθηκε από την InfluxData. Οι TSDB είναι βελτιστοποιημένες για την αποθήκευση και την εξυπηρέτηση δεδομένων χρονοσειρών, τα οποία αποτελούνται από ζεύγη χρονικής σήμανσης-τιμής. Σε σύγκριση με τις βάσεις δεδομένων γενικής χρήσης, οι TSDB παρέχουν σημαντικές βελτιώσεις σε χώρο αποθήκευσης και απόδοση για σύνολα δεδομένων χρονοσειρών. Χρησιμοποιούν εξειδικευμένους αλγόριθμους συμπίεσης και μπορούν να ρυθμιστούν ώστε να αφαιρούν αυτόματα παλιά δεδομένα. Εξειδικευμένοι δείκτες βάσεων δεδομένων βελτιώνουν επίσης την απόδοση των ερωτημάτων.
Προεπιλεγμένη θύρα: 8086
Από την οπτική γωνία ενός pentester, αυτή είναι μια άλλη βάση δεδομένων που θα μπορούσε να αποθηκεύει ευαίσθητες πληροφορίες, οπότε είναι ενδιαφέρον να γνωρίζουμε πώς να εξάγουμε όλες τις πληροφορίες.
Η InfluxDB μπορεί να απαιτεί αυθεντικοποίηση ή όχι
Αν λάβετε ένα σφάλμα όπως αυτό: ERR: unable to parse authentication credentials
σημαίνει ότι περιμένει κάποια διαπιστευτήρια.
Υπήρχε μια ευπάθεια στο influxdb που επέτρεπε την παράκαμψη της αυθεντικοποίησης: CVE-2019-20933
Οι πληροφορίες αυτού του παραδείγματος ελήφθησαν από εδώ.
Οι βρέθηκαν βάσεις δεδομένων είναι telegraf
και internal
(θα βρείτε αυτήν παντού)
Η τεκμηρίωση InfluxDB εξηγεί ότι οι μετρήσεις στο InfluxDB μπορούν να παραλληλιστούν με τους πίνακες SQL. Η ονοματολογία αυτών των μετρήσεων είναι ενδεικτική του αντίστοιχου περιεχομένου τους, κάθε μία φιλοξενεί δεδομένα σχετικά με μια συγκεκριμένη οντότητα.
Τα κλειδιά πεδίων είναι σαν τις στήλες της βάσης δεδομένων
Και τελικά μπορείτε να dump the table κάνοντας κάτι σαν
Σε κάποιες δοκιμές με την παράκαμψη της αυθεντικοποίησης παρατηρήθηκε ότι το όνομα του πίνακα έπρεπε να είναι μέσα σε διπλά εισαγωγικά όπως: select * from "cpu"
Χρησιμοποιήστε Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας που υποστηρίζονται από τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)