5984,6984 - Pentesting CouchDB
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
CouchDB - це універсальна та потужна документоорієнтована база даних, яка організовує дані, використовуючи структуру ключ-значення в кожному документі. Поля в документі можуть бути представлені як пари ключ/значення, списки або мапи, що забезпечує гнучкість у зберіганні та отриманні даних.
Кожен документ, збережений у CouchDB, отримує унікальний ідентифікатор (_id) на рівні документа. Крім того, кожна зміна, внесена та збережена в базі даних, отримує номер ревізії (_rev). Цей номер ревізії дозволяє ефективно відстежувати та управляти змінами, полегшуючи отримання та синхронізацію даних у базі даних.
Порт за замовчуванням: 5984(http), 6984(https)
Це надсилає GET-запит до встановленої інстанції CouchDB. Відповідь повинна виглядати приблизно так, як одна з наступних:
Зверніть увагу, що якщо при доступі до кореня couchdb ви отримуєте 401 Unauthorized з чимось на кшталт: {"error":"unauthorized","reason":"Authentication required."} ви не зможете отримати доступ до банера або будь-якої іншої точки доступу.
Це точки доступу, до яких ви можете звертатися з GET запитом і витягувати цікаву інформацію. Ви можете знайти більше точок доступу та більш детальні описи в документації couchdb.
/_active_tasks Список запущених завдань, включаючи тип завдання, назву, статус і ідентифікатор процесу.
/_all_dbs Повертає список усіх баз даних у екземплярі CouchDB.
**/_cluster_setup** Повертає статус вузла або кластера, відповідно до майстра налаштування кластера.
/_db_updates Повертає список усіх подій бази даних у екземплярі CouchDB. Існування бази даних _global_changes є обов'язковим для використання цієї точки доступу.
/_membership Відображає вузли, які є частиною кластера як cluster_nodes. Поле all_nodes відображає всі вузли, про які знає цей вузол, включаючи ті, що є частиною кластера.
/_scheduler/jobs Список завдань реплікації. Опис кожного завдання включатиме інформацію про джерело та ціль, ідентифікатор реплікації, історію останніх подій та кілька інших речей.
/_scheduler/docs Список станів документів реплікації. Включає інформацію про всі документи, навіть у станах completed і failed. Для кожного документа повертає ідентифікатор документа, базу даних, ідентифікатор реплікації, джерело та ціль, а також іншу інформацію.
/_scheduler/docs/{replicator_db}
/_scheduler/docs/{replicator_db}/{docid}
/_node/{node-name} Точка доступу /_node/{node-name} може бути використана для підтвердження імені вузла Erlang сервера, який обробляє запит. Це найбільш корисно при доступі до /_node/_local, щоб отримати цю інформацію.
/_node/{node-name}/_stats Ресурс _stats повертає об'єкт JSON, що містить статистику для запущеного сервера. Літеральний рядок _local служить псевдонімом для імені локального вузла, тому для всіх URL статистики {node-name} може бути замінено на _local, щоб взаємодіяти зі статистикою локального вузла.
/_node/{node-name}/_system Ресурс _system повертає об'єкт JSON, що містить різну статистику на рівні системи для запущеного сервера_._ Ви можете використовувати ___local як {node-name}, щоб отримати інформацію про поточний вузол.
/_node/{node-name}/_restart
/_up Підтверджує, що сервер працює, запущений і готовий відповідати на запити. Якщо maintenance_mode є true або nolb, точка доступу поверне відповідь 404.
**/_uuids** Запитує один або кілька універсально унікальних ідентифікаторів (UUID) з екземпляра CouchDB.
**/_reshard** Повертає кількість завершених, невдалих, запущених, зупинених і загальних завдань разом зі станом повторного розподілу в кластері.
Більш цікаву інформацію можна витягнути, як пояснено тут: https://lzone.de/cheat-sheet/CouchDB
Якщо цей запит відповідає з 401 неавторизовано, тоді вам потрібні дійсні облікові дані для доступу до бази даних:
Щоб знайти дійсні облікові дані, ви можете спробувати зламати сервіс.
Це приклад відповіді couchdb, коли у вас є достатньо привілеїв для перегляду баз даних (Це просто список баз даних):
Ви можете отримати деяку інформацію про базу даних (таку як кількість файлів та їх розміри), отримавши доступ до назви бази даних:
Перерахуйте кожен запис у базі даних
Прочитайте вміст документа всередині бази даних:
Завдяки відмінностям між парсерами JSON Erlang та JavaScript ви можете створити адміністратора з обліковими даними hacktricks:hacktricks за допомогою наступного запиту:
Більше інформації про цю вразливість тут.
Приклад з тут.
У документації CouchDB, зокрема в розділі, що стосується налаштування кластеру (посилання), обговорюється використання портів CouchDB в режимі кластера. Зазначається, що, як і в автономному режимі, використовується порт 5984. Крім того, порт 5986 призначений для локальних API вузлів, а важливо, що Erlang вимагає TCP порт 4369 для демона відображення портів Erlang (EPMD), що полегшує зв'язок між вузлами в кластері Erlang. Це налаштування формує мережу, де кожен вузол пов'язаний з усіма іншими вузлами.
Важливе застереження з безпеки підкреслюється щодо порту 4369. Якщо цей порт стає доступним через Інтернет або будь-яку ненадійну мережу, безпека системи сильно залежить від унікального ідентифікатора, відомого як "cookie." Цей cookie діє як засіб захисту. Наприклад, у даному списку процесів може бути спостережено cookie з назвою "monster", що вказує на його операційну роль у системі безпеки.
Для тих, хто зацікавлений у розумінні того, як цей "cookie" може бути використаний для віддаленого виконання коду (RCE) в контексті систем Erlang, доступний спеціальний розділ для подальшого читання. Він детально описує методології використання cookie Erlang несанкціонованими способами для досягнення контролю над системами. Ви можете дослідити детальний посібник з зловживання cookie Erlang для RCE тут.
Приклад звідси.
Недавно розкрита вразливість, CVE-2018-8007, що впливає на Apache CouchDB, була досліджена, виявивши, що експлуатація вимагає прав на запис до файлу local.ini. Хоча це не було безпосередньо застосовно до початкової цільової системи через обмеження безпеки, були внесені зміни, щоб надати доступ на запис до файлу local.ini для цілей дослідження. Нижче наведені детальні кроки та приклади коду, що демонструють процес.
Спочатку середовище готується, забезпечуючи, щоб файл local.ini був записуваним, що перевіряється шляхом переліку прав:
Щоб експлуатувати вразливість, виконується команда curl, націлена на конфігурацію cors/origins у local.ini. Це інжектує новий походження разом з додатковими командами в секцію [os_daemons], з метою виконання довільного коду:
Подальша перевірка показує ін'єкційну конфігурацію в local.ini, контрастуючи її з резервною копією, щоб підкреслити зміни:
Спочатку очікуваний файл (/tmp/0xdf) не існує, що вказує на те, що ін'єкована команда ще не була виконана. Подальше розслідування виявляє, що процеси, пов'язані з CouchDB, працюють, включаючи один, який потенційно може виконати ін'єковану команду:
Закриваючи виявлений процес CouchDB і дозволяючи системі автоматично перезапустити його, виконується ін'єкована команда, що підтверджується наявністю раніше відсутнього файлу:
Це дослідження підтверджує життєздатність експлуатації CVE-2018-8007 за певних умов, зокрема вимогу наявності прав на запис до файлу local.ini. Наведені приклади коду та процедурні кроки пропонують чіткий посібник для відтворення експлуатації в контрольованому середовищі.
Для отримання додаткової інформації про CVE-2018-8007 зверніться до рекомендацій mdsec: CVE-2018-8007.
Приклад звідси.
Вразливість, відома як CVE-2017-12636, була досліджена, що дозволяє виконання коду через процес CouchDB, хоча певні конфігурації можуть перешкоджати її експлуатації. Незважаючи на численні посилання на Proof of Concept (POC), доступні в Інтернеті, необхідні коригування для експлуатації вразливості на версії CouchDB 2, яка відрізняється від зазвичай націленої версії 1.x. Початкові кроки включають перевірку версії CouchDB та підтвердження відсутності очікуваного шляху серверів запитів:
Щоб підтримувати версію CouchDB 2.0, використовується новий шлях:
Спроби додати та викликати новий сервер запитів зустрілися з помилками, пов'язаними з дозволами, про що свідчить наступний вихід:
Подальше розслідування виявило проблеми з дозволами на файл local.ini, який не можна було змінити. Змінивши дозволи файлу з доступом root або homer, стало можливим продовжити:
Наступні спроби додати сервер запитів були успішними, про що свідчить відсутність повідомлень про помилки у відповіді. Успішна модифікація файлу local.ini була підтверджена через порівняння файлів:
Процес продовжився створенням бази даних та документа, після чого була спроба виконати код через користувацьке відображення, що відображає новостворений сервер запитів:
A резюме з альтернативним payload надає додаткову інформацію про експлуатацію CVE-2017-12636 за певних умов. Корисні ресурси для експлуатації цієї вразливості включають:
port:5984 couchdb
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
