11211 - Pentesting Memcache

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Protocol Information

From wikipedia:

Memcached (izgovor: mem-kesd, mem-keš-di) je sistem za keširanje u memoriji opšte namene. Često se koristi za ubrzavanje dinamičkih veb sajtova koji koriste baze podataka keširanjem podataka i objekata u RAM-u kako bi se smanjio broj puta kada se mora čitati spoljni izvor podataka (kao što su baza podataka ili API).

Iako Memcached podržava SASL, većina instanci je izložena bez autentifikacije.

Podrazumevani port: 11211

PORT      STATE SERVICE
11211/tcp open  unknown

Enumeration

Manual

Da biste ekfiltrirali sve informacije sačuvane unutar memcache instance, potrebno je:

Pronaći slabs sa aktivnim stavkama
Dobiti imena ključeva slabova otkrivenih ranije
Ekfiltrirati sačuvane podatke dobijanjem imena ključeva

Zapamtite da je ova usluga samo cache, tako da podatci mogu da se pojavljuju i nestaju.

echo "version" | nc -vn -w 1 <IP> 11211      #Get version
echo "stats" | nc -vn -w 1 <IP> 11211        #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211  #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211  #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211  #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211  #Get saved info

#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'

Manual2

sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat  --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)

Automatski

nmap -n -sV --script memcached-info -p 11211 <IP>   #Just gather info
msf > use auxiliary/gather/memcached_extractor      #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible

Dumping Memcache Keys

U oblasti memcache, protokola koji pomaže u organizovanju podataka po slabovima, postoje specifične komande za inspekciju sačuvanih podataka, iako sa značajnim ograničenjima:

Ključevi se mogu dumpovati samo po slab klasi, grupišući ključeve slične veličine sadržaja.
Postoji ograničenje od jedne stranice po slab klasi, što odgovara 1MB podataka.
Ova funkcija je neslužbena i može biti ukinuta u bilo kojem trenutku, kao što je raspravljeno na forumima zajednice.

Ograničenje dumpovanja samo 1MB iz potencijalno gigabajta podataka je posebno značajno. Ipak, ova funkcionalnost može pružiti uvide u obrasce korišćenja ključeva, u zavisnosti od specifičnih potreba. Za one koji su manje zainteresovani za mehaniku, poseta odeljku sa alatima otkriva alate za sveobuhvatan dump. Alternativno, proces korišćenja telnet-a za direktnu interakciju sa memcached postavkama je opisan u nastavku.

How it Works

Organizacija memorije u memcache-u je ključna. Pokretanje memcache-a sa opcijom "-vv" otkriva slab klase koje generiše, kao što je prikazano u nastavku:

$ memcached -vv
slab class   1: chunk size        96 perslab   10922
[...]

Da biste prikazali sve trenutno postojeće slabove, koristi se sledeća komanda:

stats slabs

Dodavanje jednog ključa u memcached 1.4.13 ilustruje kako se slab klase popunjavaju i upravljaju. Na primer:

set mykey 0 60 1
1
STORED

Izvršavanje komande "stats slabs" nakon dodavanja ključa daje detaljnu statistiku o korišćenju slabova:

stats slabs
[...]

Ovaj izlaz otkriva aktivne tipove slabova, korišćene delove i operativne statistike, pružajući uvide u efikasnost operacija čitanja i pisanja.

Još jedna korisna komanda, "stats items", pruža podatke o evikcijama, ograničenjima memorije i životnim ciklusima stavki:

stats items
[...]

Ove statistike omogućavaju obrazložene pretpostavke o ponašanju keširanja aplikacija, uključujući efikasnost keša za različite veličine sadržaja, alokaciju memorije i kapacitet za keširanje velikih objekata.

Dumping Keys

Za verzije pre 1.4.31, ključevi se dumpuju po slab klasi koristeći:

stats cachedump <slab class> <number of items to dump>

Na primer, da biste dumpovali ključ u klasi #1:

stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END

Ova metoda prolazi kroz slab klase, izvlačeći i opcionalno dumpujući ključne vrednosti.

DUMPING MEMCACHE KEYS (VER 1.4.31+)

Sa verzijom memcache 1.4.31 i iznad, uvedena je nova, sigurnija metoda za dumpovanje ključeva u produkcionom okruženju, koristeći neblokirajući režim kao što je detaljno opisano u release notes. Ovaj pristup generiše opsežan izlaz, stoga se preporučuje korišćenje 'nc' komande za efikasnost. Primeri uključuju:

echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

DUMPING TOOLS

Table from here.

Programming Languages	Tools	Functionality
PHP	simple script	Štampa imena ključeva.
Perl	simple script	Štampa ključeve i vrednosti
Ruby	simple script	Štampa imena ključeva.
Perl	memdump	Alat u CPAN modulu	Memcached-libmemcached	ached/)
PHP	memcache.php	Memcache Monitoring GUI koji takođe omogućava dumpovanje ključeva
libmemcached	peep	Zamrzava vaš memcached proces!!! Budite oprezni kada to koristite u produkciji. I dalje, koristeći to možete zaobići ograničenje od 1MB i stvarno dumpovati sve ključeve.

Programming Languages

Tools

Functionality

PHP

simple script

Štampa imena ključeva.

Perl

simple script

Štampa ključeve i vrednosti

Ruby

simple script

Štampa imena ključeva.

Perl

memdump

Alat u CPAN modulu

Memcached-libmemcached

ached/)

PHP

memcache.php

Memcache Monitoring GUI koji takođe omogućava dumpovanje ključeva

libmemcached

peep

Zamrzava vaš memcached proces!!! Budite oprezni kada to koristite u produkciji. I dalje, koristeći to možete zaobići ograničenje od 1MB i stvarno dumpovati sve ključeve.

Troubleshooting

1MB Data Limit

Napomena da pre memcached 1.4 ne možete čuvati objekte veće od 1MB zbog podrazumevane maksimalne veličine slab.

Never Set a Timeout > 30 Days!

Ako pokušate da “set” ili “add” ključ sa vremenskim ograničenjem većim od dozvoljenog maksimuma, možda nećete dobiti ono što očekujete jer memcached tada tretira vrednost kao Unix vremensku oznaku. Takođe, ako je vremenska oznaka u prošlosti, neće učiniti ništa. Vaša komanda će tiho propasti.

Dakle, ako želite da koristite maksimalni vek, navedite 2592000. Primer:

set my_key 0 2592000 1
1

Disappearing Keys on Overflow

Iako dokumentacija kaže nešto o prebacivanju oko 64bit prelivanja vrednosti koristeći “incr”, to uzrokuje da vrednost nestane. Potrebno je ponovo je kreirati koristeći “add”/”set”.

Replication

memcached sam ne podržava replikaciju. Ako vam je zaista potrebna, morate koristiti rešenja trećih strana:

repcached: Multi-master async replikacija (memcached 1.2 patch set)
Couchbase memcached interface: Koristite CouchBase kao memcached drop-in
yrmcds: memcached kompatibilan Master-Slave key value store
twemproxy (aka nutcracker): proxy sa memcached podrškom

Commands Cheat-Sheet

Memcache Commands

Shodan

port:11211 "STAT pid"
"STAT pid"

References

https://lzone.de/cheat-sheet/memcached

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Previous10000 - Pentesting Network Data Management Protocol (ndmp)NextMemcache Commands

Last updated 4 months ago