9200 - Pentesting Elasticsearch

htARTE（HackTricks AWS Red Team Expert） からAWSハッキングをゼロからヒーローまで学ぶ！

HackTricksをサポートする他の方法:

HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
**💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
**ハッキングトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

基本情報

Elasticsearchは、あらゆる種類のデータに対する分散型、オープンソースの検索および分析エンジンです。速度、拡張性、およびシンプルなREST APIで知られています。Apache Lucene上に構築され、2010年にElasticsearch N.V.（現在はElasticとして知られています）によって最初にリリースされました。ElasticsearchはElastic Stackの中核コンポーネントであり、データの取り込み、拡張、保存、分析、および可視化のためのオープンソースツールのコレクションです。このスタックは一般的にELKスタックと呼ばれ、LogstashとKibanaも含まれており、Beatsと呼ばれる軽量データ輸送エージェントも含まれています。

Elasticsearchインデックスとは？

Elasticsearchのインデックスは、JSONとして格納された関連ドキュメントのコレクションです。各ドキュメントはキーとそれに対応する値（文字列、数値、ブール値、日付、配列、地理位置など）で構成されています。

Elasticsearchは、高速な全文検索を可能にする効率的なデータ構造である転置インデックスを使用しています。このインデックスは、ドキュメント内のすべての一意の単語をリストし、各単語が現れるドキュメントを特定します。

インデックス作成プロセス中、Elasticsearchはドキュメントを保存し、転置インデックスを構築し、ほぼリアルタイムの検索を可能にします。インデックスAPIは、特定のインデックス内のJSONドキュメントを追加または更新するために使用されます。

デフォルトポート: 9200/tcp

手動列挙

バナー

Elasticsearchにアクセスするために使用されるプロトコルはHTTPです。HTTP経由でアクセスすると、いくつかの興味深い情報が表示されます: http://10.10.10.115:9200/

/にアクセスしてもその応答が表示されない場合は、次のセクションを参照してください。

認証

デフォルトではElasticsearchには認証が有効になっていませんので、デフォルトでは資格情報を使用せずにデータベース内のすべてにアクセスできます。

認証が無効になっていることを確認するには、以下のリクエストを使用してください:

curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}

しかしながら、/ にリクエストを送信して、以下のようなレスポンスを受け取った場合:

{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}

それは認証が設定されており、有効な資格情報が必要です。Elasticsearchから情報を取得するには、ブルートフォース攻撃を試みる必要があります（HTTPベーシック認証を使用しているため、HTTPベーシック認証をBFできるものは何でも使用できます）。ここには、デフォルトのユーザー名のリストがあります: elastic (スーパーユーザー)、remote_monitoring_user、beats_system、logstash_system、kibana、kibana_system、apm_system、 _anonymous_._ Elasticsearchの古いバージョンでは、このユーザーのデフォルトパスワードは changeme です。

curl -X GET http://user:password@IP:9200/

基本的なユーザー列挙

#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"

#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"

#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"

Elastic情報

以下は、Elasticsearchに関する情報を取得するためにGET経由でアクセスできるいくつかのエンドポイントです：

_cat	/_cluster	/_security
/_cat/segments	/_cluster/allocation/explain	/_security/user
/_cat/shards	/_cluster/settings	/_security/privilege
/_cat/repositories	/_cluster/health	/_security/role_mapping
/_cat/recovery	/_cluster/state	/_security/role
/_cat/plugins	/_cluster/stats	/_security/api_key
/_cat/pending_tasks	/_cluster/pending_tasks
/_cat/nodes	/_nodes
/_cat/tasks	/_nodes/usage
/_cat/templates	/_nodes/hot_threads
/_cat/thread_pool	/_nodes/stats
/_cat/ml/trained_models	/_tasks
/_cat/transforms/_all	/_remote/info
/_cat/aliases
/_cat/allocation
/_cat/ml/anomaly_detectors
/_cat/count
/_cat/ml/data_frame/analytics
/_cat/ml/datafeeds
/_cat/fielddata
/_cat/health
/_cat/indices
/_cat/master
/_cat/nodeattrs
/_cat/nodes

_cat

/_cluster

/_security

/_cat/segments

/_cluster/allocation/explain

/_security/user

/_cat/shards

/_cluster/settings

/_security/privilege

/_cat/repositories

/_cluster/health

/_security/role_mapping

/_cat/recovery

/_cluster/state

/_security/role

/_cat/plugins

/_cluster/stats

/_security/api_key

/_cat/pending_tasks

/_cluster/pending_tasks

/_cat/nodes

/_nodes

/_cat/tasks

/_nodes/usage

/_cat/templates

/_nodes/hot_threads

/_cat/thread_pool

/_nodes/stats

/_cat/ml/trained_models

/_tasks

/_cat/transforms/_all

/_remote/info

/_cat/aliases

/_cat/allocation

/_cat/ml/anomaly_detectors

/_cat/count

/_cat/ml/data_frame/analytics

/_cat/ml/datafeeds

/_cat/fielddata

/_cat/health

/_cat/indices

/_cat/master

/_cat/nodeattrs

/_cat/nodes

これらのエンドポイントは、ドキュメントから取得され、そこでさらに多くの情報を見つけることができます。また、/_catにアクセスすると、インスタンスでサポートされている/_cat/*エンドポイントが含まれたレスポンスが返されます。

/_security/user（認証が有効な場合）では、どのユーザーがsuperuserの役割を持っているかを確認できます。

インデックス

http://10.10.10.115:9200/_cat/indices?vにアクセスすることで、すべてのインデックスを収集することができます。

health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana 6tjAYZrgQ5CwwR0g6VOoRg   1   0          1            0        4kb            4kb
yellow open   quotes  ZG2D1IqkQNiNZmi2HRImnQ   5   1        253            0    262.7kb        262.7kb
yellow open   bank    eSVpNfCfREyYoVigNWcrMw   5   1       1000            0    483.2kb        483.2kb

インデックス内に保存されているデータの種類に関する情報を取得するには、次のようにアクセスできます：http://host:9200/<index> 例えば、この場合は http://10.10.10.115:9200/bank

インデックスのダンプ

インデックスのすべての内容をダンプしたい場合は、次のようにアクセスできます：http://host:9200/<index>/_search?pretty=true 例えば http://10.10.10.115:9200/bank/_search?pretty=true

銀行インデックス内の各ドキュメント（エントリ）の内容と、前のセクションで見たこのインデックスのフィールドを比較する時間を取ってください。

したがって、この時点で、"hits"内にある"total"というフィールドがあることに気付くかもしれません。これは、このインデックス内で1000件のドキュメントが見つかったことを示していますが、そのうちの10件しか取得されませんでした。これはデフォルトで10件の制限があるためです。しかし、今、このインデックスに1000件のドキュメントが含まれていることを知っているので、**size**パラメータでダンプするエントリ数を指定して、すべてをダンプできます：http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000 注意：より大きな数値を指定すると、すべてのエントリが無視され、たとえばsize=9999と指定しても、それ以上のエントリがある場合は奇妙になります（確認する必要があります）。

すべてをダンプ

すべてをダンプするには、以前と同じパスに移動して、インデックスを指定しないで行けますhttp://host:9200/_search?pretty=true 例えば http://10.10.10.115:9200/_search?pretty=true この場合は、デフォルトの10件の制限が適用されます。結果の数を増やすにはsizeパラメータを使用できます。詳細については前のセクションを参照してください。

検索

情報を探している場合は、http://host:9200/_search?pretty=true&q=<search_term> に移動して、すべてのインデックスで生の検索を行うことができます。例えば http://10.10.10.115:9200/_search?pretty=true&q=Rockwell

インデックス内で検索したい場合は、パスでそれを指定するだけです：http://host:9200/<index>/_search?pretty=true&q=<search_term>

検索コンテンツに使用されるqパラメータは、正規表現をサポートしていることに注意してください。

また、https://github.com/misalabs/horuzのようなものを使用して、elasticsearchサービスをファズすることもできます。

書き込み権限

新しいインデックス内に新しいドキュメントを作成しようとして、書き込み権限を確認することができます。

curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'

そのコマンドは、タイプがbooksで、属性が"bookId"、"author"、"publisher"、"name"であるドキュメントを持つ新しいインデックスbookindexを作成します。

新しいインデックスがリストに現れる方法に注目してください：

そして、自動的に作成されたプロパティに注目してください：

自動列挙

一部のツールは、以前に表示されたデータの一部を取得します。

msf > use auxiliary/scanner/elasticsearch/indices_enum

GitHub - theMiddleBlue/nmap-elasticsearch-nse: Nmap NSE script for enumerate indices, plugins and cluster nodes on an elasticsearch targetGitHub

Shodan

port:9200 elasticsearch

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksグッズを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmでフォロー**する。
HackTricksおよびHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

Previous9100 - Pentesting Raw Printing (JetDirect, AppSocket, PDL-datastream)Next10000 - Pentesting Network Data Management Protocol (ndmp)

Last updated 3 days ago