8086 - Pentesting InfluxDB
Last updated
Last updated
Trickest를 사용하여 세계에서 가장 진보된 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 접근하세요:
InfluxDB는 InfluxData에서 개발한 오픈 소스 **시계열 데이터베이스 (TSDB)**입니다. TSDB는 타임스탬프-값 쌍으로 구성된 시계열 데이터를 저장하고 제공하는 데 최적화되어 있습니다. 일반 목적의 데이터베이스와 비교할 때, TSDB는 시계열 데이터셋에 대해 저장 공간과 성능에서 상당한 개선을 제공합니다. 이들은 특수한 압축 알고리즘을 사용하며, 오래된 데이터를 자동으로 제거하도록 구성할 수 있습니다. 특수한 데이터베이스 인덱스는 쿼리 성능도 향상시킵니다.
기본 포트: 8086
펜테스터의 관점에서 볼 때, 이것은 민감한 정보를 저장할 수 있는 또 다른 데이터베이스이므로 모든 정보를 덤프하는 방법을 아는 것이 흥미롭습니다.
InfluxDB는 인증이 필요할 수도 있고 필요하지 않을 수도 있습니다.
만약 다음과 같은 오류가 발생하면: ERR: unable to parse authentication credentials
이는 자격 증명을 기대하고 있다는 의미입니다.
influxdb에는 인증을 우회할 수 있는 취약점이 있었습니다: CVE-2019-20933
이 예제의 정보는 여기에서 가져왔습니다.
발견된 데이터베이스는 telegraf
와 internal
입니다 (이것은 어디에서나 찾을 수 있습니다).
The InfluxDB documentation에서는 InfluxDB의 측정값이 SQL 테이블과 유사하다고 설명합니다. 이러한 측정값의 명칭은 각각의 내용과 관련이 있으며, 각 측정값은 특정 엔티티와 관련된 데이터를 포함하고 있습니다.
필드 키는 데이터베이스의 열과 같습니다.
마지막으로 테이블을 덤프하려면 다음과 같은 작업을 수행할 수 있습니다.
인증 우회 테스트에서 테이블 이름이 다음과 같이 큰따옴표로 묶여야 한다는 점이 주목되었습니다: select * from "cpu"
Trickest를 사용하여 세계에서 가장 진보된 커뮤니티 도구로 구동되는 워크플로우를 쉽게 구축하고 자동화하세요. 오늘 바로 접근하세요:
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)