5984,6984 - Pentesting CouchDB
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
CouchDB - це універсальна та потужна документно-орієнтована база даних, яка організовує дані, використовуючи структуру ключ-значення в кожному документі. Поля в документі можуть бути представлені як пари ключ/значення, списки або мапи, що забезпечує гнучкість у зберіганні та отриманні даних.
Кожному документу, збереженому в CouchDB, присвоюється унікальний ідентифікатор (_id
) на рівні документа. Крім того, кожна зміна, внесена та збережена в базі даних, отримує номер версії (_rev
). Цей номер версії дозволяє ефективно відстежувати та керувати змінами, полегшуючи легке отримання та синхронізацію даних у базі даних.
Порт за замовчуванням: 5984(http), 6984(https)
Це надсилає GET-запит до встановленої CouchDB інстанції. Відповідь повинна виглядати приблизно так, як одна з наступних:
Зверніть увагу, що якщо при доступі до кореня couchdb ви отримуєте 401 Unauthorized
з чимось на зразок цього: {"error":"unauthorized","reason":"Authentication required."}
ви не зможете отримати доступ до банера або будь-якої іншої кінцевої точки.
Це кінцеві точки, до яких ви можете отримати доступ за допомогою GET запиту та витягти деяку цікаву інформацію. Ви можете знайти більше кінцевих точок та більш детальні описи в документації couchdb.
/_active_tasks
Список запущених завдань, включаючи тип завдання, назву, статус та ідентифікатор процесу.
/_all_dbs
Повертає список усіх баз даних у екземплярі CouchDB.
/_cluster_setup
Повертає статус вузла або кластера, відповідно до майстра налаштування кластера.
/_db_updates
Повертає список усіх подій бази даних у екземплярі CouchDB. Існування бази даних _global_changes
є обов'язковим для використання цієї кінцевої точки.
/_membership
Відображає вузли, які є частиною кластера як cluster_nodes
. Поле all_nodes
відображає всі вузли, про які знає цей вузол, включаючи ті, що є частиною кластера.
/_scheduler/jobs
Список завдань реплікації. Опис кожного завдання включатиме інформацію про джерело та ціль, ідентифікатор реплікації, історію останніх подій та кілька інших речей.
/_scheduler/docs
Список станів документів реплікації. Включає інформацію про всі документи, навіть у станах completed
та failed
. Для кожного документа повертає ідентифікатор документа, базу даних, ідентифікатор реплікації, джерело та ціль, а також іншу інформацію.
/_scheduler/docs/{replicator_db}
/_scheduler/docs/{replicator_db}/{docid}
/_node/{node-name}
Кінцева точка /_node/{node-name}
може бути використана для підтвердження імені вузла Erlang сервера, який обробляє запит. Це найбільш корисно при доступі до /_node/_local
, щоб отримати цю інформацію.
/_node/{node-name}/_stats
Ресурс _stats
повертає об'єкт JSON, що містить статистику для запущеного сервера. Літеральний рядок _local
служить псевдонімом для імені локального вузла, тому для всіх URL статистики {node-name}
може бути замінено на _local
, щоб взаємодіяти зі статистикою локального вузла.
/_node/{node-name}/_system
Ресурс _system повертає об'єкт JSON, що містить різну статистику на рівні системи для запущеного сервера_._ Ви можете використовувати ___local
як {node-name}, щоб отримати інформацію про поточний вузол.
/_node/{node-name}/_restart
/_up
Підтверджує, що сервер працює, запущений і готовий відповідати на запити. Якщо maintenance_mode
є true
або nolb
, кінцева точка поверне відповідь 404.
/_uuids
Запитує один або кілька універсально унікальних ідентифікаторів (UUID) з екземпляра CouchDB.
/_reshard
Повертає кількість завершених, невдалих, запущених, зупинених та загальних завдань разом зі станом перерозподілу на кластері.
Більш цікаву інформацію можна витягти, як пояснено тут: https://lzone.de/cheat-sheet/CouchDB
Якщо цей запит відповідає з 401 неавторизованим, тоді вам потрібні дійсні облікові дані для доступу до бази даних:
Щоб знайти дійсні облікові дані, ви могли б спробувати зламати сервіс.
Це приклад відповіді couchdb, коли у вас є достатньо привілеїв для переліку баз даних (Це просто список баз даних):
Ви можете отримати деяку інформацію про базу даних (таку як кількість файлів та їх розміри), отримавши доступ до назви бази даних:
Перерахуйте кожен запис у базі даних
Прочитайте вміст документа всередині бази даних:
Завдяки відмінностям між парсерами JSON Erlang та JavaScript ви можете створити адміністратора з обліковими даними hacktricks:hacktricks
за допомогою наступного запиту:
Більше інформації про цю вразливість тут.
Приклад звідси.
У документації CouchDB, зокрема в розділі, що стосується налаштування кластеру (посилання), обговорюється використання портів CouchDB в режимі кластеру. Зазначається, що, як і в автономному режимі, використовується порт 5984
. Крім того, порт 5986
призначений для локальних API вузлів, а важливо, що Erlang вимагає TCP порт 4369
для демона відображення портів Erlang (EPMD), що полегшує зв'язок між вузлами в кластері Erlang. Це налаштування формує мережу, де кожен вузол пов'язаний з усіма іншими вузлами.
Особливу увагу приділено важливому advisory безпеки щодо порту 4369
. Якщо цей порт стає доступним через Інтернет або будь-яку ненадійну мережу, безпека системи сильно залежить від унікального ідентифікатора, відомого як "cookie." Цей cookie діє як засіб захисту. Наприклад, у даному списку процесів може бути спостережено cookie з назвою "monster", що вказує на його роль у системі безпеки.
Для тих, хто зацікавлений у розумінні того, як цей "cookie" може бути використаний для віддаленого виконання коду (RCE) в контексті систем Erlang, доступний спеціальний розділ для подальшого читання. Він детально описує методології використання cookie Erlang несанкціонованими способами для досягнення контролю над системами. Ви можете дослідити детальний посібник з зловживання cookie Erlang для RCE тут.
Приклад звідси.
Недавно розкрита вразливість, CVE-2018-8007, що впливає на Apache CouchDB, була досліджена, виявивши, що експлуатація вимагає прав на запис до файлу local.ini
. Хоча це не було безпосередньо застосовно до початкової цільової системи через обмеження безпеки, були внесені зміни, щоб надати доступ на запис до файлу local.ini
для цілей дослідження. Нижче наведені детальні кроки та приклади коду, що демонструють процес.
Спочатку середовище готується, забезпечуючи, щоб файл local.ini
був записуваним, що перевіряється шляхом переліку прав:
Щоб експлуатувати вразливість, виконується команда curl, націлена на конфігурацію cors/origins
у local.ini
. Це інжектує новий походження разом з додатковими командами в секцію [os_daemons]
, з метою виконання довільного коду:
Подальша перевірка показує ін'єкційну конфігурацію в local.ini
, контрастуючи її з резервною копією, щоб підкреслити зміни:
Спочатку очікуваний файл (/tmp/0xdf
) не існує, що вказує на те, що ін'єкована команда ще не була виконана. Подальше розслідування виявляє, що процеси, пов'язані з CouchDB, працюють, включаючи один, який потенційно може виконати ін'єковану команду:
Закриваючи виявлений процес CouchDB і дозволяючи системі автоматично перезапустити його, виконується ін'єкована команда, що підтверджується наявністю раніше відсутнього файлу:
Це дослідження підтверджує життєздатність експлуатації CVE-2018-8007 за певних умов, зокрема вимогу наявності прав на запис до файлу local.ini
. Наведені приклади коду та процедурні кроки пропонують чіткий посібник для відтворення експлуатації в контрольованому середовищі.
Для отримання додаткової інформації про CVE-2018-8007 зверніться до рекомендацій mdsec: CVE-2018-8007.
Приклад звідси.
Вразливість, відома як CVE-2017-12636, була досліджена, що дозволяє виконання коду через процес CouchDB, хоча певні конфігурації можуть перешкоджати її експлуатації. Незважаючи на численні посилання на Proof of Concept (POC), доступні в Інтернеті, необхідні коригування для експлуатації вразливості на версії CouchDB 2, яка відрізняється від зазвичай націленої версії 1.x. Початкові кроки включають перевірку версії CouchDB та підтвердження відсутності очікуваного шляху серверів запитів:
Щоб підтримати версію CouchDB 2.0, використовується новий шлях:
Спроби додати та викликати новий сервер запитів зустрілися з помилками, пов'язаними з дозволами, про що свідчить наступний вихід:
Подальше розслідування виявило проблеми з дозволами на файл local.ini
, який не можна було змінити. Змінивши дозволи файлу з доступом root або homer, стало можливим продовжити:
Наступні спроби додати сервер запитів були успішними, про що свідчить відсутність повідомлень про помилки у відповіді. Успішна модифікація файлу local.ini
була підтверджена через порівняння файлів:
Процес продовжився створенням бази даних та документа, після чого була спроба виконати код через користувацьке відображення, що відображається на новоствореному сервері запитів:
A резюме з альтернативним payload надає додаткові відомості про експлуатацію CVE-2017-12636 за певних умов. Корисні ресурси для експлуатації цієї вразливості включають:
port:5984 couchdb
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)