5984,6984 - Pentesting CouchDB
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
CouchDB, verileri her belge içinde bir anahtar-değer haritası yapısı kullanarak organize eden çok yönlü ve güçlü bir belge odaklı veritabanıdır. Belge içindeki alanlar, veri depolama ve alma esnekliği sağlayarak anahtar/değer çiftleri, listeler veya haritalar olarak temsil edilebilir.
CouchDB'de saklanan her belge, belge düzeyinde bir benzersiz tanımlayıcı (_id
) ile atanır. Ayrıca, veritabanına yapılan ve kaydedilen her değişiklik, bir revizyon numarası (_rev
) ile atanır. Bu revizyon numarası, değişikliklerin verimli bir şekilde izlenmesi ve yönetilmesi için olanak tanır ve veritabanı içindeki verilerin kolayca alınmasını ve senkronizasyonunu kolaylaştırır.
Varsayılan port: 5984(http), 6984(https)
Bu, kurulu CouchDB örneğine bir GET isteği gönderir. Yanıt aşağıdakilerden biri gibi görünmelidir:
CouchDB'nin köküne erişirken 401 Unauthorized
alıyorsanız, bu gibi bir mesajla: {"error":"unauthorized","reason":"Authentication required."}
banner'a veya başka bir uç noktaya erişemezsiniz.
Bu, GET isteği ile erişebileceğiniz ve bazı ilginç bilgileri çıkarabileceğiniz uç noktalarıdır. Daha fazla uç nokta ve daha ayrıntılı açıklamaları couchdb belgelerinde bulabilirsiniz.
/_active_tasks
Çalışan görevlerin listesi, görev türü, adı, durumu ve işlem kimliği dahil.
/_all_dbs
CouchDB örneğindeki tüm veritabanlarının listesini döndürür.
**/_cluster_setup
** Düğüm veya kümenin durumunu, küme kurulum sihirbazına göre döndürür.
/_db_updates
CouchDB örneğindeki tüm veritabanı olaylarının listesini döndürür. Bu uç noktayı kullanmak için _global_changes
veritabanının varlığı gereklidir.
/_membership
Kümenin bir parçası olan düğümleri cluster_nodes
olarak görüntüler. all_nodes
alanı, bu düğümün bildiği tüm düğümleri, kümenin bir parçası olanlar da dahil olmak üzere gösterir.
/_scheduler/jobs
Çoğaltma işlerinin listesi. Her iş tanımı, kaynak ve hedef bilgilerini, çoğaltma kimliğini, son olayların tarihçesini ve birkaç diğer şeyi içerecektir.
/_scheduler/docs
Çoğaltma belge durumlarının listesi. tamamlandı
ve başarısız
durumlar dahil olmak üzere tüm belgeler hakkında bilgi içerir. Her belge için belge kimliğini, veritabanını, çoğaltma kimliğini, kaynak ve hedefi ve diğer bilgileri döndürür.
/_scheduler/docs/{replicator_db}
/_scheduler/docs/{replicator_db}/{docid}
/_node/{node-name}
/_node/{node-name}
uç noktası, isteği işleyen sunucunun Erlang düğüm adını doğrulamak için kullanılabilir. Bu, /_node/_local
erişirken bu bilgiyi almak için en faydalıdır.
/_node/{node-name}/_stats
_stats
kaynağı, çalışan sunucu için istatistikleri içeren bir JSON nesnesi döndürür. _local
kelimesi, yerel düğüm adı için bir takma ad olarak hizmet eder, bu nedenle tüm istatistik URL'lerinde {node-name}
_local
ile değiştirilebilir, yerel düğümün istatistikleri ile etkileşimde bulunmak için.
/_node/{node-name}/_system
_system kaynağı, çalışan sunucu için çeşitli sistem düzeyindeki istatistikleri içeren bir JSON nesnesi döndürür. Mevcut düğüm bilgilerini almak için {node-name}
olarak _local
kullanabilirsiniz.
/_node/{node-name}/_restart
/_up
Sunucunun çalıştığını, çalıştığını ve isteklere yanıt vermeye hazır olduğunu doğrular. Eğer maintenance_mode
true
veya nolb
ise, uç nokta 404 yanıtı döndürecektir.
**/_uuids
** CouchDB örneğinden bir veya daha fazla Evrensel Benzersiz Tanımlayıcı (UUID) talep eder.
**/_reshard
** Tamamlanan, başarısız, çalışan, durdurulan ve toplam işlerin sayısını, ayrıca kümedeki yeniden parçalama durumunu döndürür.
Daha ilginç bilgiler burada açıklandığı gibi çıkarılabilir: https://lzone.de/cheat-sheet/CouchDB
Eğer bu istek 401 yetkisiz ile yanıt veriyorsa, veritabanına erişmek için geçerli kimlik bilgilerine ihtiyacınız var:
Geçerli Kimlik Bilgilerini bulmak için şunu deneyebilirsiniz: hizmeti brute force yapmak.
Bu, yeterli ayrıcalıklara sahip olduğunuzda veritabanlarını listelemek için bir couchdb yanıtı örneğidir (Sadece bir veritabanı listesi):
Veritabanı adını erişerek bazı veritabanı bilgilerini (dosya sayısı ve boyutları gibi) alabilirsiniz:
Veritabanındaki her bir girişi listele
Bir veritabanındaki bir belgenin içeriğini oku:
Erlang ve JavaScript JSON ayrıştırıcıları arasındaki farklar sayesinde, aşağıdaki isteği kullanarak hacktricks:hacktricks
kimlik bilgileriyle bir yönetici kullanıcısı oluşturabilirsiniz:
Bu güvenlik açığı hakkında daha fazla bilgi burada.
Örnek buradan.
CouchDB belgelerinde, özellikle küme kurulumu ile ilgili bölümde (link), CouchDB'nin küme modunda port kullanımına değinilmektedir. Tekil modda olduğu gibi, port 5984
'ün kullanıldığı belirtilmiştir. Ayrıca, port 5986
düğüm yerel API'leri içindir ve önemli olarak, Erlang, Erlang Port Mapper Daemon (EPMD) için TCP port 4369
gerektirir; bu, bir Erlang kümesi içinde düğüm iletişimini kolaylaştırır. Bu yapı, her düğümün diğer tüm düğümlerle bağlantılı olduğu bir ağ oluşturur.
Port 4369
ile ilgili önemli bir güvenlik uyarısı vurgulanmaktadır. Eğer bu port İnternet veya herhangi bir güvenilmeyen ağ üzerinden erişilebilir hale getirilirse, sistemin güvenliği "cookie" olarak bilinen benzersiz bir tanıtıcıya büyük ölçüde bağlıdır. Bu cookie bir koruma işlevi görür. Örneğin, belirli bir işlem listesinde "monster" adlı cookie gözlemlenebilir; bu, sistemin güvenlik çerçevesindeki operasyonel rolünü gösterir.
Bu "cookie"nin Erlang sistemleri bağlamında Uzaktan Kod Çalıştırma (RCE) için nasıl istismar edilebileceğini anlamakla ilgilenenler için, daha fazla okuma için özel bir bölüm mevcuttur. Bu bölüm, sistemler üzerinde kontrol sağlamak için Erlang cookie'lerini yetkisiz bir şekilde kullanma metodolojilerini detaylandırmaktadır. Erlang cookie'lerini RCE için istismar etme üzerine detaylı kılavuzu buradan keşfedebilirsiniz.
Örnek buradan.
Apache CouchDB'yi etkileyen ve yakın zamanda açıklanan CVE-2018-8007 zafiyeti incelendi ve istismar için local.ini
dosyasına yazma izinlerinin gerektiği ortaya çıktı. Güvenlik kısıtlamaları nedeniyle başlangıçtaki hedef sisteme doğrudan uygulanamasa da, keşif amaçları için local.ini
dosyasına yazma erişimi sağlamak üzere değişiklikler yapıldı. Aşağıda, süreci gösteren detaylı adımlar ve kod örnekleri sağlanmıştır.
Öncelikle, local.ini
dosyasının yazılabilir olduğundan emin olarak ortam hazırlanır ve izinler listelenerek doğrulanır:
Bu açığı istismar etmek için, local.ini
dosyasındaki cors/origins
yapılandırmasını hedef alan bir curl komutu çalıştırılır. Bu, [os_daemons]
bölümünde yeni bir köken ile birlikte ek komutlar enjekte ederek rastgele kod çalıştırmayı amaçlar:
Sonraki doğrulama, local.ini
içindeki enjekte edilmiş yapılandırmayı gösterir ve değişiklikleri vurgulamak için bir yedekle karşılaştırır:
Başlangıçta, beklenen dosya (/tmp/0xdf
) mevcut değildir, bu da enjekte edilen komutun henüz çalıştırılmadığını gösterir. Daha fazla araştırma, CouchDB ile ilgili süreçlerin çalıştığını ve enjekte edilen komutu potansiyel olarak çalıştırabilecek birinin bulunduğunu ortaya koyar:
Belirlenen CouchDB sürecini sonlandırarak ve sistemin bunu otomatik olarak yeniden başlatmasına izin vererek, enjekte edilen komutun yürütülmesi tetiklenir; bu, daha önce kaybolan dosyanın varlığıyla doğrulanır:
Bu keşif, belirli koşullar altında CVE-2018-8007 istismarının uygulanabilirliğini doğrulamaktadır; özellikle local.ini
dosyasına yazılabilir erişim gereksinimi. Sağlanan kod örnekleri ve prosedürel adımlar, istismarı kontrollü bir ortamda tekrarlamak için net bir rehber sunmaktadır.
CVE-2018-8007 hakkında daha fazla bilgi için mdsec'in tavsiyesine bakın: CVE-2018-8007.
Örnek buradan.
CouchDB süreci aracılığıyla kod yürütülmesine olanak tanıyan CVE-2017-12636 olarak bilinen bir zafiyet incelenmiştir; ancak belirli yapılandırmalar istismarını engelleyebilir. Çevrimiçi olarak mevcut olan çok sayıda Kanıtı Konsept (POC) referansına rağmen, zafiyeti CouchDB sürüm 2'de istismar etmek için ayarlamalar gereklidir; bu, genellikle hedef alınan sürüm 1.x'ten farklıdır. İlk adımlar, CouchDB sürümünü doğrulamayı ve beklenen sorgu sunucuları yolunun yokluğunu onaylamayı içerir:
CouchDB sürüm 2.0'ı desteklemek için yeni bir yol kullanılmaktadır:
Yeni bir sorgu sunucusu ekleme ve çağırma girişimleri, aşağıdaki çıktıda gösterildiği gibi izinle ilgili hatalarla karşılaştı:
Daha fazla araştırma, yazılamayan local.ini
dosyasıyla ilgili izin sorunlarını ortaya çıkardı. Dosya izinlerini root veya homer erişimi ile değiştirerek devam etmek mümkün hale geldi:
Sonraki sorgu sunucusu ekleme girişimleri başarılı oldu, yanıtın hata mesajlarının olmamasıyla gösterildi. local.ini
dosyasının başarılı bir şekilde değiştirilmesi dosya karşılaştırmasıyla doğrulandı:
Süreç, bir veritabanı ve bir belge oluşturulmasıyla devam etti, ardından yeni eklenen sorgu sunucusuna özel bir görünüm eşlemesi aracılığıyla kod çalıştırma girişimi yapıldı:
A özet alternatif bir yük ile belirli koşullar altında CVE-2017-12636'nın istismarına dair daha fazla bilgi sunmaktadır. Bu güvenlik açığını istismar etmek için yararlı kaynaklar şunlardır:
port:5984 couchdb
AWS Hacking öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)