maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/9200-pentesting-elasticsearch.md

173 lines
11 KiB
Markdown
Raw Blame History

# 9200 - Pentesting Elasticsearch
{{#include ../banners/hacktricks-training.md}}
## Podstawowe informacje
Elasticsearch to **rozproszony**, **otwarty** silnik wyszukiwania i analizy dla **wszystkich typów danych**. Znany jest z **szybkości**, **skalowalności** i **prosty REST API**. Zbudowany na Apache Lucene, został po raz pierwszy wydany w 2010 roku przez Elasticsearch N.V. (obecnie znany jako Elastic). Elasticsearch jest podstawowym komponentem Elastic Stack, zbioru narzędzi open source do pobierania, wzbogacania, przechowywania, analizy i wizualizacji danych. Ten stos, powszechnie nazywany ELK Stack, obejmuje również Logstash i Kibana, a teraz ma lekkie agenty przesyłania danych zwane Beats.
### Czym jest indeks Elasticsearch?
Indeks Elasticsearch to **zbiór** **powiązanych dokumentów** przechowywanych jako **JSON**. Każdy dokument składa się z **kluczy** i odpowiadających im **wartości** (ciągi, liczby, wartości logiczne, daty, tablice, geolokalizacje itp.).
Elasticsearch używa efektywnej struktury danych zwanej **indeksem odwróconym**, aby ułatwić szybkie wyszukiwanie pełnotekstowe. Ten indeks wymienia każde unikalne słowo w dokumentach i identyfikuje dokumenty, w których każde słowo się pojawia.
Podczas procesu indeksowania Elasticsearch przechowuje dokumenty i konstruuje indeks odwrócony, co pozwala na wyszukiwanie w niemal rzeczywistym czasie. **API indeksu** jest używane do dodawania lub aktualizowania dokumentów JSON w określonym indeksie.
**Domyślny port**: 9200/tcp
## Ręczna enumeracja
### Baner
Protokół używany do uzyskania dostępu do Elasticsearch to **HTTP**. Gdy uzyskasz do niego dostęp przez HTTP, znajdziesz interesujące informacje: `http://10.10.10.115:9200/`
![](<../images/image (294).png>)
Jeśli nie widzisz tej odpowiedzi, uzyskując dostęp do `/`, zobacz następną sekcję.
### Uwierzytelnianie
**Domyślnie Elasticsearch nie ma włączonego uwierzytelniania**, więc domyślnie możesz uzyskać dostęp do wszystkiego w bazie danych bez użycia jakichkolwiek poświadczeń.
Możesz zweryfikować, że uwierzytelnianie jest wyłączone, wysyłając żądanie do:
```bash
curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}
```
**Jednakże**, jeśli wyślesz żądanie do `/` i otrzymasz odpowiedź podobną do poniższej:
```bash
{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}
```
To oznacza, że uwierzytelnianie jest skonfigurowane i **potrzebujesz ważnych poświadczeń**, aby uzyskać jakiekolwiek informacje z elasticserach. Następnie możesz [**spróbować przeprowadzić atak brute force**](../generic-hacking/brute-force.md#elasticsearch) (używa HTTP basic auth, więc wszystko, co może przeprowadzić BF HTTP basic auth, może być użyte).\
Oto **lista domyślnych nazw użytkowników**: _**elastic** (superużytkownik), remote_monitoring_user, beats_system, logstash_system, kibana, kibana_system, apm_system,_ \_anonymous\_.\_ Starsze wersje Elasticsearch mają domyślne hasło **changeme** dla tego użytkownika.
```
curl -X GET http://user:password@IP:9200/
```
### Podstawowa enumeracja użytkowników
```bash
#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"
#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"
#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"
```
### Elastic Info
Oto kilka punktów końcowych, które możesz **uzyskać za pomocą GET**, aby **uzyskać** pewne **informacje** o elasticsearch:
| \_cat | /\_cluster | /\_security |
| ------------------------------ | ----------------------------- | ------------------------ |
| /\_cat/segments | /\_cluster/allocation/explain | /\_security/user |
| /\_cat/shards | /\_cluster/settings | /\_security/privilege |
| /\_cat/repositories | /\_cluster/health | /\_security/role_mapping |
| /\_cat/recovery | /\_cluster/state | /\_security/role |
| /\_cat/plugins | /\_cluster/stats | /\_security/api_key |
| /\_cat/pending_tasks | /\_cluster/pending_tasks | |
| /\_cat/nodes | /\_nodes | |
| /\_cat/tasks | /\_nodes/usage | |
| /\_cat/templates | /\_nodes/hot_threads | |
| /\_cat/thread_pool | /\_nodes/stats | |
| /\_cat/ml/trained_models | /\_tasks | |
| /\_cat/transforms/\_all | /\_remote/info | |
| /\_cat/aliases | | |
| /\_cat/allocation | | |
| /\_cat/ml/anomaly_detectors | | |
| /\_cat/count | | |
| /\_cat/ml/data_frame/analytics | | |
| /\_cat/ml/datafeeds | | |
| /\_cat/fielddata | | |
| /\_cat/health | | |
| /\_cat/indices | | |
| /\_cat/master | | |
| /\_cat/nodeattrs | | |
| /\_cat/nodes | | |
Te punkty końcowe zostały [**wzięte z dokumentacji**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html), gdzie możesz **znaleźć więcej**.\
Ponadto, jeśli uzyskasz dostęp do `/_cat`, odpowiedź będzie zawierać punkty końcowe `/_cat/*` obsługiwane przez instancję.
W `/_security/user` (jeśli uwierzytelnianie jest włączone) możesz zobaczyć, który użytkownik ma rolę `superuser`.
### Indices
Możesz **zgromadzić wszystkie indeksy**, uzyskując dostęp do `http://10.10.10.115:9200/_cat/indices?v`
```
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
green open .kibana 6tjAYZrgQ5CwwR0g6VOoRg 1 0 1 0 4kb 4kb
yellow open quotes ZG2D1IqkQNiNZmi2HRImnQ 5 1 253 0 262.7kb 262.7kb
yellow open bank eSVpNfCfREyYoVigNWcrMw 5 1 1000 0 483.2kb 483.2kb
```
Aby uzyskać **informacje o tym, jakie dane są zapisane w indeksie**, możesz uzyskać dostęp do: `http://host:9200/<index>` w tym przypadku `http://10.10.10.115:9200/bank`
![](<../images/image (342).png>)
### Zrzut indeksu
Jeśli chcesz **zrzucić wszystkie zawartości** indeksu, możesz uzyskać dostęp do: `http://host:9200/<index>/_search?pretty=true` jak `http://10.10.10.115:9200/bank/_search?pretty=true`
![](<../images/image (914).png>)
_Poświęć chwilę, aby porównać zawartość każdego dokumentu (wpisu) w indeksie bankowym oraz pola tego indeksu, które widzieliśmy w poprzedniej sekcji._
Na tym etapie możesz zauważyć, że **istnieje pole o nazwie "total" wewnątrz "hits"**, które wskazuje, że **znaleziono 1000 dokumentów** w tym indeksie, ale tylko 10 zostało zwróconych. Dzieje się tak, ponieważ **domyślnie istnieje limit 10 dokumentów**.\
Jednak teraz, gdy wiesz, że **ten indeks zawiera 1000 dokumentów**, możesz **zrzucić wszystkie z nich**, wskazując liczbę wpisów, które chcesz zrzucić w parametrze **`size`**: `http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000`asd\
\&#xNAN;_Uwaga: Jeśli wskażesz większą liczbę, wszystkie wpisy zostaną zrzucane, na przykład możesz wskazać `size=9999`, a to będzie dziwne, jeśli byłoby więcej wpisów (ale powinieneś to sprawdzić)._
### Zrzut wszystkich
Aby zrzucić wszystko, możesz po prostu przejść do **tego samego adresu co wcześniej, ale bez wskazywania jakiegoś indeksu** `http://host:9200/_search?pretty=true` jak `http://10.10.10.115:9200/_search?pretty=true`\
Pamiętaj, że w tym przypadku zostanie zastosowany **domyślny limit 10** wyników. Możesz użyć parametru `size`, aby zrzucić **większą ilość wyników**. Przeczytaj poprzednią sekcję, aby uzyskać więcej informacji.
### Wyszukiwanie
Jeśli szukasz jakichś informacji, możesz przeprowadzić **surowe wyszukiwanie we wszystkich indeksach**, przechodząc do `http://host:9200/_search?pretty=true&q=<search_term>` jak w `http://10.10.10.115:9200/_search?pretty=true&q=Rockwell`
![](<../images/image (335).png>)
Jeśli chcesz tylko **wyszukiwać w indeksie**, możesz po prostu **określić** go w **ścieżce**: `http://host:9200/<index>/_search?pretty=true&q=<search_term>`
_Uwaga, że parametr q używany do wyszukiwania treści **obsługuje wyrażenia regularne**_
Możesz również użyć czegoś takiego jak [https://github.com/misalabs/horuz](https://github.com/misalabs/horuz), aby fuzzować usługę elasticsearch.
### Uprawnienia do zapisu
Możesz sprawdzić swoje uprawnienia do zapisu, próbując utworzyć nowy dokument w nowym indeksie, uruchamiając coś takiego jak poniżej:
```bash
curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'
```
Ten cmd utworzy **nowy indeks** o nazwie `bookindex` z dokumentem typu `books`, który ma atrybuty "_bookId_", "_author_", "_publisher_" i "_name_".
Zauważ, jak **nowy indeks pojawia się teraz na liście**:
![](<../images/image (130).png>)
I zwróć uwagę na **automatycznie utworzone właściwości**:
![](<../images/image (434).png>)
## Automatyczna enumeracja
Niektóre narzędzia uzyskają część danych przedstawionych wcześniej:
```bash
msf > use auxiliary/scanner/elasticsearch/indices_enum
```
{{#ref}}
https://github.com/theMiddleBlue/nmap-elasticsearch-nse
{{#endref}}
## Shodan
- `port:9200 elasticsearch`
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink