Osnovne informacije

Elasticsearch je distribuirani, otvoreni izvor pretraživač i analitički sistem za sve vrste podataka. Poznat je po brzini, razmerljivosti i jednostavnim REST API-ima. Izgrađen na Apache Lucene-u, prvi put je objavljen 2010. godine od strane Elasticsearch N.V. (sada poznat kao Elastic). Elasticsearch je osnovna komponenta Elastic Stack-a, kolekcije alata otvorenog koda za unos podataka, obogaćivanje, skladištenje, analizu i vizualizaciju podataka. Ova kolekcija, često nazvana ELK Stack, takođe uključuje Logstash i Kibanu, a sada ima i lagane agente za slanje podataka nazvane Beats.

Šta je Elasticsearch indeks?

Elasticsearch indeks je kolekcija povezanih dokumenata sačuvanih kao JSON. Svaki dokument se sastoji od ključeva i njihovih odgovarajućih vrednosti (stringovi, brojevi, boolean vrednosti, datumi, nizovi, geolokacije, itd.).

Elasticsearch koristi efikasnu strukturu podataka nazvanu inverzni indeks kako bi omogućio brze pretrage celokupnog teksta. Ovaj indeks navodi svaku jedinstvenu reč u dokumentima i identifikuje dokumente u kojima se svaka reč pojavljuje.

Tokom indeksiranja, Elasticsearch čuva dokumente i konstruiše inverzni indeks, omogućavajući skoro realno vreme pretrage. Index API se koristi za dodavanje ili ažuriranje JSON dokumenata unutar određenog indeksa.

Podrazumevani port: 9200/tcp

Ručno nabrajanje

Baner

Protokol koji se koristi za pristup Elasticsearch-u je HTTP. Kada pristupite putem HTTP-a, pronaći ćete neke zanimljive informacije: http://10.10.10.115:9200/

Ako ne vidite tu odgovor pristupajući /, pogledajte sledeći odeljak.

Autentikacija

Po podrazumevanim postavkama Elasticsearch nema omogućenu autentikaciju, tako da po podrazumevanim postavkama možete pristupiti svemu unutar baze podataka bez korišćenja bilo kakvih akreditiva.

Možete proveriti da li je autentikacija onemogućena zahtevom ka:

curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}

Međutim, ako pošaljete zahtev ka / i dobijete odgovor kao u sledećem primeru:

{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}

To znači da je konfigurisana autentikacija i potrebne su važeće akreditacije da biste dobili bilo kakve informacije iz Elasticserach-a. Zatim možete pokušati da izvršite brute force napad (koristi HTTP osnovnu autentikaciju, tako da se može koristiti bilo šta što BF HTTP osnovnu autentikaciju). Ovde imate listu podrazumevanih korisničkih imena: elastic (superkorisnik), remote_monitoring_user, beats_system, logstash_system, kibana, kibana_system, apm_system, _anonymous_._ Starije verzije Elasticsearch-a imaju podrazumevanu lozinku changeme za ovog korisnika.

curl -X GET http://user:password@IP:9200/

Osnovna enumeracija korisnika

#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"

#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"

#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"

Elastic Info

Evo nekih endpointa do kojih možete pristupiti putem GET zahteva kako biste dobili informacije o elasticsearch-u:

Ovi endpointi su preuzeti iz dokumentacije gde možete pronaći više. Takođe, ako pristupite /_cat, odgovor će sadržati /_cat/* endpointe podržane od strane instance.

U /_security/user (ako je autentifikacija omogućena) možete videti koji korisnik ima ulogu superuser.

Indeksi

Možete prikupiti sve indekse pristupanjem http://10.10.10.115:9200/_cat/indices?v

health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana 6tjAYZrgQ5CwwR0g6VOoRg   1   0          1            0        4kb            4kb
yellow open   quotes  ZG2D1IqkQNiNZmi2HRImnQ   5   1        253            0    262.7kb        262.7kb
yellow open   bank    eSVpNfCfREyYoVigNWcrMw   5   1       1000            0    483.2kb        483.2kb

Za dobijanje informacija o vrsti podataka koji su sačuvani unutar indeksa možete pristupiti: http://host:9200/<index> na primer u ovom slučaju http://10.10.10.115:9200/bank

Dump indeksa

Ako želite izlistati sve sadržaje indeksa možete pristupiti: http://host:9200/<index>/_search?pretty=true kao što je http://10.10.10.115:9200/bank/_search?pretty=true

Uzmite trenutak da uporedite sadržaj svakog dokumenta (unosa) unutar bank indeksa i polja ovog indeksa koje smo videli u prethodnom odeljku.

Dakle, u ovom trenutku možete primetiti da postoji polje nazvano "total" unutar "hits" koje ukazuje da je pronađeno 1000 dokumenata unutar ovog indeksa, ali je povučeno samo 10. To je zato što je podrazumevano postavljena granica od 10 dokumenata. Međutim, sada kada znate da ovaj indeks sadrži 1000 dokumenata, možete izlistati sve njih navodeći broj unosa koje želite da izlistate u size parametru: http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000

Napomena: Ako navedete veći broj, svi unosi će biti izlistani bez obzira, na primer možete navesti size=9999 i biće čudno ako postoji više unosa (ali trebalo bi da proverite).

Dump svih

Da biste izlistali sve, jednostavno idite na isto mesto kao pre ali bez navođenja bilo kog indeksa http://host:9200/_search?pretty=true kao http://10.10.10.115:9200/_search?pretty=true Zapamtite da će u ovom slučaju biti primenjena podrazumevana granica od 10 rezultata. Možete koristiti size parametar da biste izlistali veći broj rezultata. Pročitajte prethodni odeljak za više informacija.

Pretraga

Ako tražite neke informacije, možete izvršiti sirovu pretragu svih indeksa odlaskom na http://host:9200/_search?pretty=true&q=<search_term> kao u http://10.10.10.115:9200/_search?pretty=true&q=Rockwell

Ako želite samo pretražiti indeks, možete to jednostavno navesti u putanji: http://host:9200/<index>/_search?pretty=true&q=<search_term>

Napomena da q parametar koji se koristi za pretragu sadržaja podržava regularne izraze

Takođe možete koristiti nešto poput https://github.com/misalabs/horuz za testiranje elasticsearch servisa.

Dozvole za pisanje

Možete proveriti svoje dozvole za pisanje pokušavajući da kreirate novi dokument unutar novog indeksa pokretanjem nečega sličnog sledećem:

curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'

Taj cmd će kreirati novi indeks nazvan bookindex sa dokumentom tipa books koji ima atribute "bookId", "author", "publisher" i "name"

Primetite kako se novi indeks sada pojavljuje na listi:

I primetite automatski kreirane osobine:

Automatsko Numerisanje

Neki alati će dobiti neke od prethodno prikazanih podataka:

msf > use auxiliary/scanner/elasticsearch/indices_enum

Shodan

• port:9200 elasticsearch