- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
CouchDB é um banco de dados orientado a documentos e em cada documento os campos são armazenados como mapas de chave-valor. Os campos podem ser um par chave/valor simples, lista ou mapa.
Cada documento armazenado no banco de dados recebe um identificador único de nível de documento (`_id`) e um número de revisão (`_rev`) para cada alteração que é feita e salva no banco de dados.
O Nmap pode ser usado para identificar a porta padrão do CouchDB (5984) e verificar se o serviço está em execução.
```
nmap -p 5984 <target>
```
### **CouchDB API**
O CouchDB possui uma API REST que pode ser usada para obter informações sobre o banco de dados. A API pode ser acessada em `http://<target>:5984/_utils/`.
### **Fauxton**
O Fauxton é uma interface da web para o CouchDB que pode ser usada para visualizar e gerenciar bancos de dados. Ele pode ser acessado em `http://<target>:5984/_utils/`.
O CouchDB permite que os usuários sejam criados com nomes de usuário e senhas. A enumeração de usuários pode ser realizada enviando uma solicitação GET para `http://<target>:5984/_users/_all_docs`. Isso retornará uma lista de todos os usuários do CouchDB.
### **CouchDB Database Enumeration**
A enumeração de bancos de dados pode ser realizada enviando uma solicitação GET para `http://<target>:5984/_all_dbs`. Isso retornará uma lista de todos os bancos de dados do CouchDB.
Note que se ao acessar a raiz do couchdb você receber um `401 Unauthorized` com algo como: `{"error":"unauthorized","reason":"Authentication required."}`**você não poderá acessar** o banner ou qualquer outro endpoint.
Estes são os endpoints onde você pode acessar com uma requisição **GET** e extrair algumas informações interessantes. Você pode encontrar [**mais endpoints e descrições mais detalhadas na documentação do couchdb**](https://docs.couchdb.org/en/latest/api/index.html).
* **`/_active_tasks`** Lista de tarefas em execução, incluindo o tipo de tarefa, nome, status e ID do processo.
* \*\*`/_all_dbs`\*\* Retorna uma lista de todos os bancos de dados na instância do CouchDB.
* \*\*`/_cluster_setup`\*\* Retorna o status do nó ou cluster, conforme o assistente de configuração do cluster.
* **`/_db_updates`** Retorna uma lista de todos os eventos do banco de dados na instância do CouchDB. A existência do banco de dados `_global_changes` é necessária para usar este endpoint.
* **`/_membership`** Exibe os nós que fazem parte do cluster como `cluster_nodes`. O campo `all_nodes` exibe todos os nós que este nó conhece, incluindo aqueles que fazem parte do cluster.
* **`/_scheduler/jobs`** Lista de trabalhos de replicação. Cada descrição de trabalho incluirá informações de origem e destino, ID de replicação, um histórico de eventos recentes e algumas outras coisas.
* **`/_scheduler/docs`** Lista de estados de documentos de replicação. Inclui informações sobre todos os documentos, mesmo nos estados `completed` e `failed`. Para cada documento, ele retorna o ID do documento, o banco de dados, o ID de replicação, origem e destino e outras informações.
* **`/_node/{node-name}`** O endpoint `/_node/{node-name}` pode ser usado para confirmar o nome do nó Erlang do servidor que processa a solicitação. Isso é mais útil ao acessar `/_node/_local` para recuperar essas informações.
* **`/_node/{node-name}/_stats`** O recurso `_stats` retorna um objeto JSON contendo as estatísticas do servidor em execução. A string literal `_local` serve como um alias para o nome do nó local, então para todas as URLs de estatísticas, `{node-name}` pode ser substituído por `_local`, para interagir com as estatísticas do nó local.
* **`/_node/{node-name}/_system`** O recurso \_system retorna um objeto JSON contendo várias estatísticas de nível do sistema para o servidor em execução. Você pode usar \_\_`_local` como {node-name} para obter informações do nó atual.
* **`/_up`** Confirma que o servidor está funcionando e pronto para responder a solicitações. Se [`maintenance_mode`](https://docs.couchdb.org/en/latest/config/couchdb.html#couchdb/maintenance\_mode) for `true` ou `nolb`, o endpoint retornará uma resposta 404.
* \*\*`/_uuids`\*\* Solicita um ou mais Identificadores Únicos Universais (UUIDs) da instância do CouchDB.
* \*\*`/_reshard`\*\* Retorna uma contagem de trabalhos concluídos, falhados, em execução, parados e totais, juntamente com o estado de resharding no cluster.
Mais informações interessantes podem ser extraídas conforme explicado aqui: [https://lzone.de/cheat-sheet/CouchDB](https://lzone.de/cheat-sheet/CouchDB)
Para encontrar Credenciais válidas, você pode tentar realizar uma [força bruta no serviço](../generic-methodologies-and-resources/brute-force.md#couchdb).
Este é um **exemplo** de resposta do couchdb quando você tem privilégios suficientes para listar bancos de dados (é apenas uma lista de bancos de dados):
Graças às diferenças entre os analisadores JSON do Erlang e do JavaScript, você pode **criar um usuário administrador** com as credenciais `hacktricks:hacktricks` com a seguinte solicitação:
Na documentação do CouchDB, na seção de [configuração de cluster](http://docs.couchdb.org/en/stable/cluster/setup.html#cluster-setup), fala sobre as diferentes portas usadas pelo CouchDB:
> O Erlang usa a porta TCP `4369` (EPMD) para encontrar outros nós, então todos os servidores devem ser capazes de se comunicar nesta porta. Em um cluster Erlang, todos os nós estão conectados a todos os outros nós. Uma malha.
**Você pode ler esta seção para aprender como abusar dos cookies do Erlang para obter RCE**.\
Além disso, você pode ler alguns **writeups da máquina Canape HTB** [como este](https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution) para ver e **praticar** como **explorar essa vulnerabilidade**.
Ao escrever este post, descobri que um novo CVE havia sido lançado para o CouchDB pela mdsec, [CVE-2018-8007](https://www.mdsec.co.uk/2018/08/advisory-cve-2018-8007-apache-couchdb-remote-code-execution/). Ele também requer gravações no arquivo `local.ini`, portanto, não é uma opção útil para Canape. Mas como já o tornamos gravável como root, vamos ver se podemos fazê-lo funcionar.
Podemos usar o curl para modificar as origens no arquivo `local.ini`. A vulnerabilidade aqui é que se usarmos o curl para colocar uma nova origem e, em seguida, novas linhas, podemos escrever coisas adicionais, incluindo um novo cabeçalho e detalhes. Então, vamos aproveitar o campo `[os_daemons]` e adicionar um processo para o CouchDB tentar continuar executando:
Se olharmos para os processos em execução com "couchdb" na linha de comando, veremos não apenas a linha de comando que nos dá o valor do cookie que usamos anteriormente, mas também `runsrv couchdb`:
Precisamos escrever um novo query\_server e, em seguida, invocá-lo. Quando Canape foi lançado, a maioria dos POCs era para o couchdb 1.x, mas esta caixa está executando o 2, portanto, o caminho query\_servers da maioria dos POCs não existe. Isso mudou agora, mas seguiremos os mesmos passos. Primeiro, obtenha a versão e mostre que o caminho 1.X não existe:
Algumas pesquisas mostram que este é um problema de permissões. Na verdade, se verificarmos com o nosso shell root, podemos ver que o arquivo `local.ini` não é gravável por ninguém, muito menos www-data:
Então, isso é um beco sem saída para o Canape. Mas se quisermos tentar fazê-lo funcionar, podemos torná-lo legível com nosso acesso root ou homer e continuar por este caminho. Faremos um backup do original para que possamos ver quais mudanças foram feitas:
Agora, deveríamos ser capazes de criar um banco de dados, e então um documento nesse banco de dados, e solicitar com uma visualização que mapeia nosso query\_server para obter a execução.
Este artigo apresenta informações sobre como realizar testes de penetração em bancos de dados CouchDB. O artigo começa com uma pesquisa no Shodan para encontrar instâncias do CouchDB em execução na porta 5984. Em seguida, o artigo apresenta referências para análise de vulnerabilidades e execução de comandos no CouchDB.
