11211 - Pentesting Memcache

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Protocol Information

From wikipedia:

Memcached (matamshi: mem-cashed, mem-cash-dee) ni mfumo wa kumbukumbu ya cache wa kusambaza kwa matumizi ya jumla. Mara nyingi hutumiwa kuongeza kasi ya tovuti zinazotegemea hifadhidata kwa kuhifadhi data na vitu katika RAM ili kupunguza idadi ya mara ambazo chanzo cha data cha nje (kama vile hifadhidata au API) kinapaswa kusomwa.

Ingawa Memcached inasaidia SASL, mifano mingi ni iliyowekwa wazi bila uthibitisho.

Bandari ya kawaida: 11211

PORT      STATE SERVICE
11211/tcp open  unknown

Enumeration

Manual

Ili kuhamasisha taarifa zote zilizohifadhiwa ndani ya mfano wa memcache unahitaji:

Kupata slabs zenye vitu vilivyo hai
Kupata majina ya funguo ya slabs zilizogunduliwa kabla
Kuhamasisha data iliyohifadhiwa kwa kupata majina ya funguo

Kumbuka kwamba huduma hii ni cache tu, hivyo data inaweza kuonekana na kup消a.

echo "version" | nc -vn -w 1 <IP> 11211      #Get version
echo "stats" | nc -vn -w 1 <IP> 11211        #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211  #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211  #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211  #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211  #Get saved info

#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'

Manual2

sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat  --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)

Kiotomatiki

nmap -n -sV --script memcached-info -p 11211 <IP>   #Just gather info
msf > use auxiliary/gather/memcached_extractor      #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible

Dumping Memcache Keys

Katika eneo la memcache, protokali inayosaidia katika kuandaa data kwa slabs, amri maalum zipo kwa ajili ya kukagua data iliyohifadhiwa, ingawa kwa vizuizi vya kutosha:

Funguo zinaweza tu kutolewa kwa darasa la slab, zikikundi funguo za ukubwa wa maudhui sawa.
Kuna kikomo cha ukurasa mmoja kwa darasa la slab, kinacholingana na 1MB ya data.
Kipengele hiki si rasmi na kinaweza kusitishwa wakati wowote, kama ilivyojadiliwa katika mijadala ya jamii.

Kikomo cha kutoweza kutoa zaidi ya 1MB kutoka kwa data inayoweza kuwa gigabytes ni muhimu sana. Hata hivyo, kazi hii bado inaweza kutoa mwanga juu ya mifumo ya matumizi ya funguo, kulingana na mahitaji maalum. Kwa wale wasio na hamu sana na mitambo, kutembelea sehemu ya zana kunaonyesha zana za kutoa kwa kina. Vinginevyo, mchakato wa kutumia telnet kwa mwingiliano wa moja kwa moja na mipangilio ya memcached umeelezwa hapa chini.

How it Works

Organizational ya kumbukumbu ya memcache ni muhimu. Kuanzisha memcache na chaguo "-vv" kunaonyesha madarasa ya slab yanayozalishwa, kama inavyoonyeshwa hapa chini:

$ memcached -vv
slab class   1: chunk size        96 perslab   10922
[...]

Ili kuonyesha slabs zote zilizopo kwa sasa, amri ifuatayo inatumika:

stats slabs

Kuongeza ufunguo mmoja kwa memcached 1.4.13 inaonyesha jinsi madarasa ya slab yanavyojazwa na kusimamiwa. Kwa mfano:

set mykey 0 60 1
1
STORED

Kutekeleza amri "stats slabs" baada ya kuongeza ufunguo kunatoa takwimu za kina kuhusu matumizi ya slab:

stats slabs
[...]

Hii output inaonyesha aina za slab zinazofanya kazi, vipande vinavyotumika, na takwimu za uendeshaji, ikitoa mwanga juu ya ufanisi wa operesheni za kusoma na kuandika.

Amri nyingine muhimu, "stats items", inatoa data kuhusu kufukuzwa, vizuizi vya kumbukumbu, na mizunguko ya vitu:

stats items
[...]

Hesabu hizi zinaruhusu dhana za kielimu kuhusu tabia ya caching ya programu, ikiwa ni pamoja na ufanisi wa cache kwa saizi tofauti za maudhui, ugawaji wa kumbukumbu, na uwezo wa kuhifadhi vitu vikubwa.

Kutoa Funguo

Kwa toleo la kabla ya 1.4.31, funguo zinatolewa kwa darasa la slab kwa kutumia:

stats cachedump <slab class> <number of items to dump>

Kwa mfano, kutupa funguo katika darasa #1:

stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END

Hii mbinu inarudi nyuma kupitia madarasa ya slab, ikitoa na kwa hiari ikitupa thamani za funguo.

KUTUPA THAMANI ZA MEMCACHE (VER 1.4.31+)

Kwa toleo la memcache 1.4.31 na juu, mbinu mpya, salama zaidi ya kutupa funguo katika mazingira ya uzalishaji imeanzishwa, ikitumia hali isiyozuia kama ilivyoelezwa katika release notes. Njia hii inazalisha matokeo makubwa, hivyo mapendekezo ya kutumia amri 'nc' kwa ufanisi. Mifano ni pamoja na:

echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

DUMPING TOOLS

Table from here.

Programming Languages	Tools	Functionality
PHP	simple script	Inachapisha majina ya funguo.
Perl	simple script	Inachapisha funguo na thamani
Ruby	simple script	Inachapisha majina ya funguo.
Perl	memdump	Chombo katika moduli ya CPAN	Memcached-libmemcached	ached/)
PHP	memcache.php	GUI ya Ufuatiliaji wa Memcache ambayo pia inaruhusu kutupa funguo
libmemcached	peep	Inaf freeze mchakato wako wa memcached!!! Kuwa makini unapoitumia katika uzalishaji. Bado ukiitumia unaweza kuzunguka kikomo cha 1MB na kweli kutupa yote funguo.

Programming Languages

Tools

Functionality

PHP

simple script

Inachapisha majina ya funguo.

Perl

simple script

Inachapisha funguo na thamani

Ruby

simple script

Inachapisha majina ya funguo.

Perl

memdump

Chombo katika moduli ya CPAN

Memcached-libmemcached

ached/)

PHP

memcache.php

GUI ya Ufuatiliaji wa Memcache ambayo pia inaruhusu kutupa funguo

libmemcached

peep

Inaf freeze mchakato wako wa memcached!!! Kuwa makini unapoitumia katika uzalishaji. Bado ukiitumia unaweza kuzunguka kikomo cha 1MB na kweli kutupa yote funguo.

Troubleshooting

1MB Data Limit

Kumbuka kwamba kabla ya memcached 1.4 huwezi kuhifadhi vitu vikubwa kuliko 1MB kutokana na ukubwa wa slab wa kawaida.

Never Set a Timeout > 30 Days!

Ikiwa unajaribu “kweka” au “kuongeza” funguo yenye muda wa kukatika zaidi ya kile kinachoruhusiwa, huenda usipate kile unachotarajia kwa sababu memcached kisha inachukulia thamani kama alama ya wakati wa Unix. Pia ikiwa alama ya wakati iko katika zamani haitafanya chochote kabisa. Amri yako itashindwa kimya.

Hivyo ikiwa unataka kutumia muda wa juu zaidi, eleza 2592000. Mfano:

set my_key 0 2592000 1
1

Disappearing Keys on Overflow

Licha ya hati kusema kitu kuhusu kuzunguka 64bit inayozidi thamani kwa kutumia “incr” inasababisha thamani kupotea. Inahitaji kuundwa tena kwa kutumia “add”/”set”.