8086 - Pentesting InfluxDB
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Βασικές Πληροφορίες
Το InfluxDB είναι μια ανοικτού κώδικα βάση δεδομένων χρονοσειρών (TSDB) που αναπτύχθηκε από την InfluxData. Οι TSDB είναι βελτιστοποιημένες για την αποθήκευση και την εξυπηρέτηση δεδομένων χρονοσειρών, τα οποία αποτελούνται από ζεύγη χρονικού σημείου-τιμής. Σε σύγκριση με γενικού σκοπού βάσεις δεδομένων, οι TSDB παρέχουν σημαντικές βελτιώσεις στον χώρο αποθήκευσης και την απόδοση για σύνολα δεδομένων χρονοσειρών. Χρησιμοποιούν εξειδικευμένους αλγόριθμους συμπίεσης και μπορούν να ρυθμιστούν για να αφαιρούν αυτόματα παλιά δεδομένα. Επιπλέον, εξειδικευμένοι δείκτες βάσης δεδομένων βελτιώνουν επίσης την απόδοση των ερωτημάτων.
Προεπιλεγμένη θύρα: 8086
Απαρίθμηση
Από την άποψη ενός pentester, αυτή είναι μια άλλη βάση δεδομένων που θα μπορούσε να αποθηκεύει ευαίσθητες πληροφορίες, οπότε είναι ενδιαφέρον να γνωρίζουμε πως να ανακτήσουμε όλες τις πληροφορίες.
Ταυτοποίηση
Το InfluxDB ενδέχεται να απαιτεί ταυτοποίηση ή όχι.
Αν λάβετε ένα σφάλμα σαν κι αυτό: ERR: unable to parse authentication credentials
σημαίνει ότι περιμένει κάποια διαπιστευτήρια.
Υπήρχε μια ευπάθεια στο influxdb που επέτρεπε την παράκαμψη της ταυτοποίησης: CVE-2019-20933
Χειροκίνητη Απαρίθμηση
Οι πληροφορίες αυτού του παραδείγματος προήλθαν από εδώ.
Εμφάνιση βάσεων δεδομένων
Οι βρεθείσες βάσεις δεδομένων είναι telegraf
και internal
(θα βρείτε αυτήν παντού)
Εμφάνιση πινάκων/μετρήσεων
Η τεκμηρίωση του InfluxDB εξηγεί ότι οι μετρήσεις στο InfluxDB μπορούν να συγκριθούν με τους πίνακες SQL. Η ονοματολογία αυτών των μετρήσεων είναι ενδεικτική του περιεχομένου τους, με κάθε μία να περιέχει δεδομένα που αφορούν ένα συγκεκριμένο στοιχείο.
Εμφάνιση στηλών/κλειδιών πεδίων
Τα κλειδιά πεδίων είναι σαν τις στήλες της βάσης δεδομένων
Αδειάστε τον πίνακα
Και τελικά μπορείτε να αδειάσετε τον πίνακα κάνοντας κάτι παρόμοιο με το:
Κατά τη διάρκεια μερικών δοκιμών με την παράκαμψη της ταυτοποίησης παρατηρήθηκε ότι το όνομα του πίνακα έπρεπε να βρίσκεται μεταξύ διπλών εισαγωγικών όπως: select * from "cpu"
Αυτοματοποιημένη Ταυτοποίηση
Χρησιμοποιήστε το Trickest για να δημιουργήσετε εύκολα και να αυτοματοποιήσετε ροές εργασίας με τα πιο προηγμένα εργαλεία κοινότητας στον κόσμο. Αποκτήστε πρόσβαση σήμερα:
Last updated