11211 - Pentesting Memcache

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Informacje o protokole

Z wikipedia:

Memcached (wymowa: mem-cashed, mem-cash-dee) to ogólny system rozproszonego cache'owania pamięci. Często jest używany do przyspieszania dynamicznych stron internetowych opartych na bazach danych poprzez cache'owanie danych i obiektów w RAM, aby zmniejszyć liczbę odczytów z zewnętrznego źródła danych (takiego jak baza danych lub API).

Chociaż Memcached obsługuje SASL, większość instancji jest narażona bez uwierzytelnienia.

Domyślny port: 11211

PORT      STATE SERVICE
11211/tcp open  unknown

Enumeration

Manual

Aby wyeksportować wszystkie informacje zapisane w instancji memcache, musisz:

Znaleźć slabs z aktywnymi elementami
Uzyskać nazwy kluczy z wcześniej wykrytych slabs
Wyeksportować zapisane dane poprzez uzyskanie nazw kluczy

Pamiętaj, że ta usługa to tylko cache, więc dane mogą się pojawiać i znikać.

echo "version" | nc -vn -w 1 <IP> 11211      #Get version
echo "stats" | nc -vn -w 1 <IP> 11211        #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211  #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211  #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211  #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211  #Get saved info

#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'

Manual2

sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat  --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)

Automatyczny

nmap -n -sV --script memcached-info -p 11211 <IP>   #Just gather info
msf > use auxiliary/gather/memcached_extractor      #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible

Dumping Memcache Keys

W obszarze memcache, protokołu, który pomaga w organizacji danych według slabów, istnieją specyficzne polecenia do inspekcji przechowywanych danych, chociaż z zauważalnymi ograniczeniami:

Klucze mogą być dumpowane tylko według klasy slab, grupując klucze o podobnym rozmiarze zawartości.
Istnieje limit jednej strony na klasę slab, co odpowiada 1MB danych.
Ta funkcjonalność jest nieoficjalna i może zostać w każdej chwili wycofana, jak omówiono na forum społecznościowym.

Ograniczenie do dumpowania tylko 1MB z potencjalnie gigabajtów danych jest szczególnie istotne. Niemniej jednak, ta funkcjonalność może nadal oferować wgląd w wzorce użycia kluczy, w zależności od specyficznych potrzeb. Dla tych, którzy mniej interesują się mechaniką, wizyta w sekcji narzędzi ujawnia narzędzia do kompleksowego dumpowania. Alternatywnie, proces używania telnetu do bezpośredniej interakcji z konfiguracjami memcached jest opisany poniżej.

How it Works

Organizacja pamięci memcache jest kluczowa. Inicjowanie memcache z opcją "-vv" ujawnia klasy slab, które generuje, jak pokazano poniżej:

$ memcached -vv
slab class   1: chunk size        96 perslab   10922
[...]

Aby wyświetlić wszystkie obecnie istniejące slab, używa się następującego polecenia:

stats slabs

Dodanie pojedynczego klucza do memcached 1.4.13 ilustruje, jak klasy slab są zapełniane i zarządzane. Na przykład:

set mykey 0 60 1
1
STORED

Wykonanie polecenia "stats slabs" po dodaniu klucza daje szczegółowe statystyki dotyczące wykorzystania slabów:

stats slabs
[...]

Ten wynik ujawnia aktywne typy slabów, wykorzystane kawałki oraz statystyki operacyjne, oferując wgląd w efektywność operacji odczytu i zapisu.

Inna przydatna komenda, "stats items", dostarcza danych na temat usunięć, ograniczeń pamięci oraz cykli życia elementów:

stats items
[...]

Te statystyki pozwalają na wyciąganie wyedukowanych wniosków na temat zachowania aplikacji w zakresie cache'owania, w tym efektywności cache dla różnych rozmiarów treści, alokacji pamięci i pojemności do cache'owania dużych obiektów.

Dumping Keys

Dla wersji wcześniejszych niż 1.4.31, klucze są zrzucane według klasy slab za pomocą:

stats cachedump <slab class> <number of items to dump>

Na przykład, aby zrzucić klucz w klasie #1:

stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END

Ta metoda iteruje po klasach slab, ekstraktując i opcjonalnie zrzucając wartości kluczy.

Zrzucanie KLUCZY MEMCACHE (WERSJA 1.4.31+)

W wersji memcache 1.4.31 i wyższych wprowadzono nową, bezpieczniejszą metodę zrzucania kluczy w środowisku produkcyjnym, wykorzystując tryb non-blocking, jak szczegółowo opisano w notatkach wydania. To podejście generuje obszerne wyjście, stąd zalecenie użycia polecenia 'nc' dla efektywności. Przykłady obejmują:

echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

NARZĘDZIA DO DUMPINGU

Tabela stąd.

Języki programowania	Narzędzia	Funkcjonalność
PHP	prosty skrypt	Wyświetla nazwy kluczy.
Perl	prosty skrypt	Wyświetla klucze i wartości
Ruby	prosty skrypt	Wyświetla nazwy kluczy.
Perl	memdump	Narzędzie w module CPAN	Memcached-libmemcached	ached/)
PHP	memcache.php	GUI do monitorowania Memcache, która również pozwala na dumping kluczy
libmemcached	peep	Zamraża twój proces memcached!!! Uważaj przy używaniu tego w produkcji. Mimo to, używając go, możesz obejść ograniczenie 1MB i naprawdę zrzucić wszystkie klucze.

Języki programowania

Narzędzia

Funkcjonalność

PHP

prosty skrypt

Wyświetla nazwy kluczy.

Perl

prosty skrypt

Wyświetla klucze i wartości

Ruby

prosty skrypt

Wyświetla nazwy kluczy.

Perl

memdump

Narzędzie w module CPAN

Memcached-libmemcached

ached/)

PHP

memcache.php

GUI do monitorowania Memcache, która również pozwala na dumping kluczy

libmemcached

peep

Zamraża twój proces memcached!!! Uważaj przy używaniu tego w produkcji. Mimo to, używając go, możesz obejść ograniczenie 1MB i naprawdę zrzucić wszystkie klucze.

Rozwiązywanie problemów

Limit danych 1MB

Zauważ, że przed memcached 1.4 nie możesz przechowywać obiektów większych niż 1MB z powodu domyślnego maksymalnego rozmiaru slab.

Nigdy nie ustawiaj limitu czasu > 30 dni!

Jeśli spróbujesz „ustawić” lub „dodać” klucz z limitem czasu większym niż dozwolone maksimum, możesz nie otrzymać tego, czego oczekujesz, ponieważ memcached traktuje wartość jako znacznik czasu Unix. Jeśli znacznik czasu jest w przeszłości, nie zrobi nic. Twoje polecenie cicho się nie powiedzie.

Więc jeśli chcesz użyć maksymalnego czasu życia, określ 2592000. Przykład:

set my_key 0 2592000 1
1

Znikające klucze przy przepełnieniu

Pomimo dokumentacji mówiącej coś o przepełnieniu wartości 64bit przy użyciu „incr”, wartość znika. Należy ją ponownie utworzyć przy użyciu „add”/„set”.

Replikacja

memcached sam w sobie nie obsługuje replikacji. Jeśli naprawdę jej potrzebujesz, musisz użyć rozwiązań firm trzecich:

repcached: Replikacja multi-master asynchroniczna (patch set memcached 1.2)
Couchbase memcached interface: Użyj CouchBase jako zamiennika memcached
yrmcds: Zgodny z memcached magazyn kluczy-wartości Master-Slave
twemproxy (znany również jako nutcracker): proxy z obsługą memcached

Komendy Cheat-Sheet

Memcache Commands

Shodan

port:11211 "STAT pid"
"STAT pid"

Referencje

https://lzone.de/cheat-sheet/memcached

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

Previous10000 - Pentesting Network Data Management Protocol (ndmp)NextMemcache Commands

Last updated 4 months ago