8086 - Pentesting InfluxDB
Last updated
Last updated
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
InfluxDB to otwartoźródłowa baza danych szeregów czasowych (TSDB) opracowana przez InfluxData. TSDB są zoptymalizowane do przechowywania i obsługi danych szeregów czasowych, które składają się z par znaczników czasowych i wartości. W porównaniu do baz danych ogólnego przeznaczenia, TSDB oferują znaczące poprawy w przestrzeni dyskowej i wydajności dla zbiorów danych szeregów czasowych. Wykorzystują specjalistyczne algorytmy kompresji i mogą być skonfigurowane do automatycznego usuwania starych danych. Specjalistyczne indeksy bazy danych również poprawiają wydajność zapytań.
Domyślny port: 8086
Z punktu widzenia pentestera to kolejna baza danych, która może przechowywać wrażliwe informacje, więc interesujące jest, aby wiedzieć, jak zrzucić wszystkie dane.
InfluxDB może wymagać uwierzytelnienia lub nie
Jeśli otrzymasz błąd taki jak ten: ERR: unable to parse authentication credentials
, oznacza to, że oczekuje jakichś poświadczeń.
Była luka w influxdb, która pozwalała na ominięcie uwierzytelniania: CVE-2019-20933
Informacje z tego przykładu zostały zaczerpnięte stąd.
Znalezione bazy danych to telegraf
i internal
(tę drugą znajdziesz wszędzie)
Dokumentacja InfluxDB wyjaśnia, że pomiary w InfluxDB można porównać z tabelami SQL. Nomenklatura tych pomiarów wskazuje na ich odpowiednią zawartość, z których każdy przechowuje dane związane z określoną jednostką.
Klucze pól są jak kolumny bazy danych
A na koniec możesz zrzucić tabelę wykonując coś takiego
W niektórych testach z obejściem uwierzytelniania zauważono, że nazwa tabeli musi być w podwójnych cudzysłowach, jak: select * from "cpu"
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)