9200 - Pentesting Elasticsearch

Отримайте перспективу хакера на ваші веб-додатки, мережу та хмару

Знайдіть і повідомте про критичні, експлуатовані вразливості з реальним бізнес-імпактом. Використовуйте наші 20+ спеціальних інструментів для картографування атакуючої поверхні, знаходження проблем безпеки, які дозволяють вам підвищити привілеї, і використовуйте автоматизовані експлойти для збору важливих доказів, перетворюючи вашу важку працю на переконливі звіти.

Penetration testing toolkit, ready to usePentest-Tools.com

Основна інформація

Elasticsearch є розподіленим, відкритим пошуковим та аналітичним двигуном для всіх типів даних. Він відомий своєю швидкістю, масштабованістю та простими REST API. Побудований на Apache Lucene, він вперше був випущений у 2010 році компанією Elasticsearch N.V. (тепер відома як Elastic). Elasticsearch є основним компонентом Elastic Stack, колекції відкритих інструментів для збору, збагачення, зберігання, аналізу та візуалізації даних. Цей стек, який зазвичай називають ELK Stack, також включає Logstash і Kibana, а тепер має легкі агенти для доставки даних, звані Beats.

Що таке індекс Elasticsearch?

Індекс Elasticsearch є колекцією пов'язаних документів, збережених у форматі JSON. Кожен документ складається з ключів та їх відповідних значень (рядки, числа, булеві значення, дати, масиви, геолокації тощо).

Elasticsearch використовує ефективну структуру даних, звану інвертованим індексом, для полегшення швидкого повнотекстового пошуку. Цей індекс перераховує кожне унікальне слово в документах і ідентифікує документи, в яких з'являється кожне слово.

Під час процесу індексації Elasticsearch зберігає документи та створює інвертований індекс, що дозволяє здійснювати пошук майже в реальному часі. API індексації використовується для додавання або оновлення JSON-документів у конкретному індексі.

Порт за замовчуванням: 9200/tcp

Ручна енумерація

Банер

Протокол, що використовується для доступу до Elasticsearch, є HTTP. Коли ви отримуєте доступ через HTTP, ви знайдете деяку цікаву інформацію: http://10.10.10.115:9200/

Якщо ви не бачите цього відповіді, зверніться до наступного розділу.

Аутентифікація

За замовчуванням Elasticsearch не має увімкненої аутентифікації, тому за замовчуванням ви можете отримати доступ до всього всередині бази даних без використання будь-яких облікових даних.

Ви можете перевірити, що аутентифікація вимкнена, надіславши запит до:

curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}

Однак, якщо ви надішлете запит до / і отримаєте відповідь, подібну до наступної:

{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}

Це означає, що автентифікація налаштована, і вам потрібні дійсні облікові дані, щоб отримати будь-яку інформацію з elasticsearch. Тоді ви можете спробувати брутфорсити це (він використовує HTTP basic auth, тому будь-що, що може BF HTTP basic auth, може бути використано). Ось у вас є список стандартних імен користувачів: elastic (суперкористувач), remote_monitoring_user, beats_system, logstash_system, kibana, kibana_system, apm_system, _anonymous_. Старі версії Elasticsearch мають стандартний пароль changeme для цього користувача.

curl -X GET http://user:password@IP:9200/

Базова енумерація користувачів

#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"

#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"

#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"

Elastic Info

Ось кілька кінцевих точок, до яких ви можете доступитися через GET, щоб отримати деяку інформацію про elasticsearch:

Ці кінцеві точки були взяти з документації, де ви можете знайти більше. Також, якщо ви звернетеся до /_cat, відповідь міститиме /_cat/* кінцеві точки, підтримувані екземпляром.

У /_security/user (якщо автентифікація увімкнена) ви можете побачити, який користувач має роль superuser.

Indices

Ви можете зібрати всі індекси, звернувшись до http://10.10.10.115:9200/_cat/indices?v

health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana 6tjAYZrgQ5CwwR0g6VOoRg   1   0          1            0        4kb            4kb
yellow open   quotes  ZG2D1IqkQNiNZmi2HRImnQ   5   1        253            0    262.7kb        262.7kb
yellow open   bank    eSVpNfCfREyYoVigNWcrMw   5   1       1000            0    483.2kb        483.2kb

Щоб отримати інформацію про те, які дані зберігаються в індексі, ви можете отримати доступ до: http://host:9200/<index> з прикладу, в даному випадку http://10.10.10.115:9200/bank

Вивантаження індексу

Якщо ви хочете вивантажити всі вмісти індексу, ви можете отримати доступ до: http://host:9200/<index>/_search?pretty=true, як http://10.10.10.115:9200/bank/_search?pretty=true

Витратьте хвилину, щоб порівняти вміст кожного документа (запису) всередині індексу bank та поля цього індексу, які ми бачили в попередньому розділі.

Отже, на цьому етапі ви можете помітити, що існує поле під назвою "total" всередині "hits", яке вказує на те, що було знайдено 1000 документів в цьому індексі, але лише 10 були отримані. Це тому, що за замовчуванням існує обмеження в 10 документів. Але тепер, коли ви знаєте, що цей індекс містить 1000 документів, ви можете вивантажити всі з них, вказавши кількість записів, які ви хочете вивантажити в параметрі size: http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000asd &#xNAN;Примітка: Якщо ви вкажете більше число, всі записи все одно будуть вивантажені, наприклад, ви могли б вказати size=9999, і це буде дивно, якщо буде більше записів (але вам слід перевірити).

Вивантажити все

Щоб вивантажити все, ви можете просто перейти до того ж шляху, що й раніше, але без вказівки будь-якого індексу http://host:9200/_search?pretty=true, як http://10.10.10.115:9200/_search?pretty=true Пам'ятайте, що в цьому випадку буде застосовано за замовчуванням обмеження в 10 результатів. Ви можете використовувати параметр size, щоб вивантажити більшу кількість результатів. Читайте попередній розділ для отримання додаткової інформації.

Пошук

Якщо ви шукаєте якусь інформацію, ви можете зробити сирий пошук по всіх індексах, перейшовши за адресою http://host:9200/_search?pretty=true&q=<search_term>, як у http://10.10.10.115:9200/_search?pretty=true&q=Rockwell

Якщо ви хочете просто шукати в індексі, ви можете просто вказати його в шляху: http://host:9200/<index>/_search?pretty=true&q=<search_term>

Зверніть увагу, що параметр q, який використовується для пошуку вмісту, підтримує регулярні вирази

Ви також можете використовувати щось на зразок https://github.com/misalabs/horuz для фуззингу служби elasticsearch.

Права на запис

Ви можете перевірити свої права на запис, спробувавши створити новий документ всередині нового індексу, запустивши щось на зразок наступного:

curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'

Ця команда створить новий індекс під назвою bookindex з документом типу books, який має атрибути "bookId", "author", "publisher" та "name"

Зверніть увагу, як новий індекс тепер з'являється у списку:

І зверніть увагу на автоматично створені властивості:

Автоматична енумерація

Деякі інструменти отримають частину даних, представлених раніше:

msf > use auxiliary/scanner/elasticsearch/indices_enum

GitHub - theMiddleBlue/nmap-elasticsearch-nse: Nmap NSE script for enumerate indices, plugins and cluster nodes on an elasticsearch targetGitHub

Shodan

• port:9200 elasticsearch

Отримайте перспективу хакера на ваші веб-додатки, мережу та хмару

Знайдіть і повідомте про критичні, експлуатовані вразливості з реальним бізнес-імпактом. Використовуйте наші 20+ спеціальних інструментів для картографування атакуючої поверхні, знаходження проблем безпеки, які дозволяють вам підвищити привілеї, і використовуйте автоматизовані експлойти для збору важливих доказів, перетворюючи вашу важку працю на переконливі звіти.

Penetration testing toolkit, ready to usePentest-Tools.com