5984,6984 - Pentesting CouchDB
基本情報
CouchDBは、キーと値のマップ構造を使用してデータを整理する柔軟で強力な文書指向データベースです。ドキュメント内のフィールドはキー/値のペア、リスト、またはマップとして表現でき、データの保存と取得に柔軟性を提供します。
CouchDBに格納されるすべてのドキュメントには、ドキュメントレベルで一意の識別子(_id
)が割り当てられます。さらに、データベースに行われた各変更はリビジョン番号(_rev
)が割り当てられます。このリビジョン番号により、変更の効率的な追跡と管理が可能となり、データの簡単な取得とデータベース内での同期が容易になります。
デフォルトポート: 5984(http)、6984(https)
自動列挙
マニュアル列挙
バナー
これはインストールされたCouchDBインスタンスにGETリクエストを送信します。返信は以下のいずれかのようになるはずです:
CouchDBのルートにアクセスすると、401 Unauthorized
が返され、次のようなメッセージが表示されます: {"error":"unauthorized","reason":"Authentication required."}
バナーや他のエンドポイントにアクセスできません。
情報列挙
これらは、GETリクエストでアクセスできるエンドポイントであり、いくつかの興味深い情報を抽出できます。CouchDBのドキュメントには、より多くのエンドポイントと詳細な説明が記載されています。
/_active_tasks
実行中のタスクのリスト。タスクのタイプ、名前、ステータス、プロセスIDを含む。/_all_dbs
CouchDBインスタンス内のすべてのデータベースのリストを返します。/_cluster_setup
ノードまたはクラスターのステータスを返します。クラスターセットアップウィザードに従います。/_db_updates
CouchDBインスタンス内のすべてのデータベースイベントのリストを返します。このエンドポイントを使用するには、_global_changes
データベースの存在が必要です。/_membership
cluster_nodes
としてクラスターに属するノードを表示します。all_nodes
フィールドには、このノードが知っているすべてのノードが表示され、クラスターに属するノードも含まれます。/_scheduler/jobs
レプリケーションジョブのリスト。各ジョブの説明には、ソースとターゲット情報、レプリケーションID、最近のイベントの履歴、その他いくつかの情報が含まれます。/_scheduler/docs
レプリケーションドキュメントの状態のリスト。completed
およびfailed
の状態を含むすべてのドキュメントに関する情報が含まれます。各ドキュメントには、ドキュメントID、データベース、レプリケーションID、ソースとターゲットなどが返されます。/_scheduler/docs/{replicator_db}
/_scheduler/docs/{replicator_db}/{docid}
/_node/{node-name}
/_node/{node-name}
エンドポイントは、リクエストを処理するサーバーのErlangノード名を確認するために使用できます。これは、この情報を取得する際に最も役立ちます。/_node/{node-name}/_stats
_stats
リソースは、実行中のサーバーの統計情報を含むJSONオブジェクトを返します。リテラル文字列_local
は、ローカルノード名のエイリアスとして機能します。したがって、すべての統計URLにおいて、{node-name}
は_local
に置き換えることができます。/_node/{node-name}/_system
_system
リソースは、実行中のサーバーのさまざまなシステムレベルの統計情報を含むJSONオブジェクトを返します。現在のノード情報を取得するには、{node-name}
として_local
を使用できます。/_node/{node-name}/_restart
/_up
サーバーが稼働しており、リクエストに応答する準備ができていることを確認します。maintenance_mode
がtrue
またはnolb
の場合、エンドポイントは404レスポンスを返します。/_uuids
CouchDBインスタンスから1つ以上のUUID(Universally Unique Identifiers)を要求します。/_reshard
クラスター上のリシャーディングの状態を含む、完了、失敗、実行中、停止、および合計ジョブの数を返します。
ここで説明されているように、より興味深い情報を抽出できます: https://lzone.de/cheat-sheet/CouchDB
データベースリスト
もしリクエストが401 Unauthorizedで応答した場合、データベースにアクセスするためには有効な資格情報が必要です:
有効な資格情報を見つけるためには、サービスをブルートフォースすることができます。
これは、データベースをリストする権限が十分にある場合のcouchdbのレスポンスの例です(ただし、データベースのリストのみです):
データベース情報
データベース名にアクセスすることで、データベースの情報(ファイル数やサイズなど)を取得できます:
ドキュメントリスト
データベース内の各エントリをリストします。
ドキュメントの読み取り
データベース内のドキュメントの内容を読み取ります:
CouchDB特権昇格 CVE-2017-12635
ErlangとJavaScriptのJSONパーサーの違いのおかげで、次のリクエストで資格情報hacktricks:hacktricks
を持つ管理者ユーザーを作成することができます:
CouchDB RCE
Erlang Cookieセキュリティ概要
例はこちらから。
CouchDBのドキュメントでは、特にクラスター設定に関するセクション(リンク)で、クラスターモードでのCouchDBのポートの使用が説明されています。スタンドアロンモードと同様に、ポート5984
が使用されることが述べられています。さらに、ポート5986
はノードローカルAPI用であり、重要なのは、ErlangがErlangクラスター内でノード間通信を可能にするためにErlang Port Mapper Daemon(EPMD)にTCPポート4369
を必要とすることです。この設定により、各ノードが他のすべてのノードと相互にリンクされたネットワークが形成されます。
ポート4369
に関する重要なセキュリティアドバイスが強調されています。このポートがインターネット上または信頼されていないネットワーク経由でアクセス可能になっている場合、システムのセキュリティは一意の識別子である「cookie」に大きく依存します。このcookieはセーフガードとして機能します。たとえば、特定のプロセスリストで、システムのセキュリティフレームワーク内での操作的な役割を示すcookieとして「monster」という名前のcookieが観察されるかもしれません。
Erlangシステムのコンテキストでこの「cookie」がどのように悪用され、リモートコード実行(RCE)につながるかを理解したい方には、詳細なガイドが用意されています。これはErlangのcookieを不正な方法で利用してシステムを制御するための方法について詳しく説明しています。Erlang cookieをRCEに悪用する詳細ガイドをこちらでご覧いただけます。
CVE-2018-8007の悪用:local.iniの変更を通じて
例はこちらから。
最近公開された脆弱性であるCVE-2018-8007は、Apache CouchDBに影響を与え、悪用にはlocal.ini
ファイルへの書き込み権限が必要であることが明らかになりました。初期のターゲットシステムにはセキュリティ制限があるため、直接適用することはできませんが、探索目的でlocal.ini
ファイルへの書き込みアクセス権限を付与するための変更が行われました。以下に、プロセスを示す詳細な手順とコード例が提供されています。
まず、環境を準備するために、local.ini
ファイルが書き込み可能であることを確認し、権限をリストアップして検証します:
以下の脆弱性を悪用するために、local.ini
内のcors/origins
構成をターゲットにしたcurlコマンドが実行されます。これにより、新しいオリジンが挿入され、[os_daemons]
セクションに追加のコマンドが挿入され、任意のコードが実行されることを目指します:
次の検証では、変更点を強調するために、local.ini
に注入された設定をバックアップと対比して示しています:
最初、予想されるファイル(/tmp/0xdf
)は存在せず、注入されたコマンドがまだ実行されていないことを示しています。さらなる調査により、CouchDBに関連するプロセスが実行されており、注入されたコマンドを実行する可能性がある1つのプロセスがあることが明らかになりました:
以下の手順で、特定されたCouchDBプロセスを終了させ、システムが自動的に再起動することで、注入されたコマンドの実行がトリガーされ、以前に欠落していたファイルの存在が確認されます:
この調査は、特定の条件下でCVE-2018-8007の悪用の実行可能性を確認しました。特に、local.ini
ファイルへの書き込みアクセスが必要です。提供されたコード例と手順には、制御された環境で脆弱性を再現するための明確なガイドが含まれています。
CVE-2018-8007の詳細については、mdsecによるアドバイザリを参照してください:CVE-2018-8007。
Write Permissions on local.iniでCVE-2017-12636を探る
例はこちらから。
CVE-2017-12636として知られる脆弱性が探索され、CouchDBプロセスを介したコード実行が可能となりますが、特定の構成によってはその悪用が防止される場合があります。オンラインで利用可能な多数のProof of Concept(POC)リファレンスがあるにもかかわらず、一般的に標的とされるバージョン1.xと異なるCouchDBバージョン2で脆弱性を悪用するためには調整が必要です。最初のステップは、CouchDBバージョンの確認と、期待されるクエリサーバーパスの不在を確認することです。
CouchDBバージョン2.0に対応するために、新しいパスが利用されています:
次の出力によると、新しいクエリサーバーを追加して呼び出そうとする試みは、許可関連のエラーに遭遇しました:
さらなる調査により、local.ini
ファイルに書き込み権限がないことが判明しました。rootまたはhomerアクセス権でファイルの権限を変更することで、進行が可能になりました:
次のクエリサーバーの追加試行は成功し、応答にエラーメッセージがないことで示されました。local.ini
ファイルの変更が成功したことは、ファイルの比較によって確認されました:
作業は、データベースとドキュメントの作成を行った後、新しく追加されたクエリサーバーにマッピングされたカスタムビューを介してコードを実行しようとする試みに続きました:
Shodan
port:5984 couchdb
参考文献
Last updated