8086 - Pentesting InfluxDB
Last updated
Last updated
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:
InfluxDB je open-source baza podataka vremenskih serija (TSDB) koju je razvila InfluxData. TSDB-ovi su optimizovani za skladištenje i pružanje podataka vremenskih serija, koji se sastoje od parova vremenskih oznaka i vrednosti. U poređenju sa bazama podataka opšte namene, TSDB-ovi pružaju značajna poboljšanja u prostorima za skladištenje i performansama za skupove podataka vremenskih serija. Koriste specijalizovane algoritme kompresije i mogu biti konfigurisani da automatski uklanjaju stare podatke. Specijalizovani indeksi baza podataka takođe poboljšavaju performanse upita.
Podrazumevani port: 8086
Iz perspektive pentestera, ovo je još jedna baza podataka koja može čuvati osetljive informacije, pa je zanimljivo znati kako izvući sve informacije.
InfluxDB može zahtevati autentifikaciju ili ne
Ako dobijete grešku poput ove: ERR: unable to parse authentication credentials
, to znači da očekuje neka akreditivna sredstva.
Postojala je ranjivost u influxdb koja je omogućila zaobilaženje autentifikacije: CVE-2019-20933
Informacije iz ovog primera su preuzete ovde.
Pronađene baze podataka su telegraf
i internal
(ovu ćete pronaći svuda)
The InfluxDB documentation objašnjava da se mere u InfluxDB mogu paralelno posmatrati sa SQL tabelama. Nomenklatura ovih mera je indikativna za njihov sadržaj, svaka sadrži podatke relevantne za određenu entitet.
Ključevi polja su kao kolone baze podataka
I konačno možete dumpovati tabelu radeći nešto poput
U nekim testiranjima sa zaobilaženjem autentifikacije primećeno je da ime tabele treba da bude između dvostrukih navodnika kao: select * from "cpu"
Koristite Trickest da lako izgradite i automatizujete radne tokove pokretane najnaprednijim alatima zajednice. Dobijte pristup danas:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)