8086 - Pentesting InfluxDB
Використовуйте Trickest для легкого створення та автоматизації робочих процесів, підтримуваних найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Основна інформація
InfluxDB — це відкритий база даних часових рядів (TSDB), розроблена компанією InfluxData. TSDB оптимізовані для зберігання та обслуговування даних часових рядів, які складаються з пар мітка часу-значення. У порівнянні з базами даних загального призначення, TSDB забезпечують значні покращення в обсязі зберігання та продуктивності для наборів даних часових рядів. Вони використовують спеціалізовані алгоритми стиснення та можуть бути налаштовані для автоматичного видалення старих даних. Спеціалізовані індекси бази даних також покращують продуктивність запитів.
Порт за замовчуванням: 8086
Enumeration
З точки зору пентестера, це ще одна база даних, яка може зберігати чутливу інформацію, тому цікаво знати, як вивантажити всю інформацію.
Authentication
InfluxDB може вимагати автентифікацію або ні
Якщо ви отримуєте помилку, подібну до цієї: ERR: unable to parse authentication credentials
, це означає, що очікуються деякі облікові дані.
Було виявлено вразливість influxdb, яка дозволяла обійти аутентифікацію: CVE-2019-20933
Ручна енумерація
Інформація цього прикладу була взята з тут.
Показати бази даних
Знайдені бази даних - telegraf
та internal
(ви знайдете цю всюди)
Show tables/measurements
The InfluxDB documentation пояснює, що вимірювання в InfluxDB можна порівняти з таблицями SQL. Номенклатура цих вимірювань вказує на їх відповідний вміст, кожне з яких містить дані, що стосуються певної сутності.
Показати ключі полів
Ключі полів подібні до стовпців бази даних
Dump Table
І нарешті ви можете вивантажити таблицю, виконавши щось на зразок
У деяких тестах з обхідною аутентифікацією було зазначено, що ім'я таблиці повинно бути в подвійних лапках, наприклад: select * from "cpu"
Автоматизована аутентифікація
Використовуйте Trickest для легкого створення та автоматизації робочих процесів, підтримуваних найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Last updated