<summary><strong>Aprende hacking en AWS desde cero hasta experto con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (Experto en Red Team de AWS de HackTricks)</strong></a><strong>!</strong></summary>
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén la [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositorios de github.
**CouchDB** es una base de datos **orientada a documentos** versátil y potente que organiza los datos utilizando una estructura de **mapa de clave-valor** dentro de cada **documento**. Los campos dentro del documento pueden representarse como **pares clave/valor, listas o mapas**, lo que proporciona flexibilidad en el almacenamiento y recuperación de datos.
Cada **documento** almacenado en CouchDB se le asigna un **identificador único** (`_id`) a nivel de documento. Además, cada modificación realizada y guardada en la base de datos se le asigna un **número de revisión** (`_rev`). Este número de revisión permite un **seguimiento eficiente y la gestión de cambios**, facilitando la recuperación y sincronización de datos dentro de la base de datos.
Ten en cuenta que si al acceder a la raíz de couchdb recibes un `401 Unauthorized` con algo como esto: `{"error":"unauthorized","reason":"Authentication required."}`**no podrás acceder** al banner ni a ningún otro endpoint.
Estos son los endpoints a los que puedes acceder con una solicitud **GET** y extraer información interesante. Puedes encontrar [**más endpoints y descripciones detalladas en la documentación de couchdb**](https://docs.couchdb.org/en/latest/api/index.html).
* **`/_active_tasks`** Lista de tareas en ejecución, incluyendo el tipo de tarea, nombre, estado y ID de proceso.
* **`/_all_dbs`** Devuelve una lista de todas las bases de datos en la instancia de CouchDB.
* **`/_cluster_setup`** Devuelve el estado del nodo o cluster, según el asistente de configuración del cluster.
* **`/_db_updates`** Devuelve una lista de todos los eventos de la base de datos en la instancia de CouchDB. Se requiere la existencia de la base de datos `_global_changes` para usar este endpoint.
* **`/_membership`** Muestra los nodos que forman parte del cluster como `cluster_nodes`. El campo `all_nodes` muestra todos los nodos que este nodo conoce, incluidos los que forman parte del cluster.
* **`/_scheduler/jobs`** Lista de trabajos de replicación. Cada descripción de trabajo incluirá información de origen y destino, ID de replicación, un historial de eventos recientes y algunas otras cosas.
* **`/_scheduler/docs`** Lista de estados de documentos de replicación. Incluye información sobre todos los documentos, incluso en estados `completados` y `fallidos`. Para cada documento devuelve el ID del documento, la base de datos, el ID de replicación, origen y destino, y otra información.
* **`/_node/{node-name}`** El endpoint `/_node/{node-name}` se puede utilizar para confirmar el nombre del nodo Erlang del servidor que procesa la solicitud. Esto es más útil al acceder a `/_node/_local` para recuperar esta información.
* **`/_node/{node-name}/_stats`** El recurso `_stats` devuelve un objeto JSON que contiene las estadísticas del servidor en ejecución. La cadena literal `_local` sirve como un alias para el nombre del nodo local, por lo que para todas las URL de estadísticas, `{node-name}` puede ser reemplazado por `_local`, para interactuar con las estadísticas del nodo local.
* **`/_node/{node-name}/_system`** El recurso \_system devuelve un objeto JSON que contiene varias estadísticas a nivel de sistema para el servidor en ejecución. Puedes usar \_\_`_local` como {node-name} para obtener información actual del nodo.
* **`/_up`** Confirma que el servidor está arriba, en ejecución y listo para responder a las solicitudes. Si [`maintenance_mode`](https://docs.couchdb.org/en/latest/config/couchdb.html#couchdb/maintenance\_mode) es `true` o `nolb`, el endpoint devolverá una respuesta 404.
* **`/_uuids`** Solicita uno o más Identificadores Únicos Universales (UUIDs) de la instancia de CouchDB.
* **`/_reshard`** Devuelve un recuento de trabajos completados, fallidos, en ejecución, detenidos y totales junto con el estado de reescalado en el cluster.
Para encontrar Credenciales válidas podrías **intentar** [**realizar un ataque de fuerza bruta al servicio**](../generic-methodologies-and-resources/brute-force.md#couchdb).
Este es un **ejemplo** de una **respuesta** de couchdb cuando tienes **suficientes privilegios** para listar bases de datos (Es solo una lista de bases de datos):
Gracias a las diferencias entre los analizadores JSON de Erlang y JavaScript, podrías **crear un usuario administrador** con credenciales `hacktricks:hacktricks` con la siguiente solicitud:
En la documentación de CouchDB, específicamente en la sección sobre la configuración de clúster ([enlace](http://docs.couchdb.org/en/stable/cluster/setup.html#cluster-setup)), se discute el uso de puertos por parte de CouchDB en modo clúster. Se menciona que, al igual que en el modo independiente, se utiliza el puerto `5984`. Además, el puerto `5986` es para APIs locales de nodos, y es importante destacar que Erlang requiere el puerto TCP `4369` para el Demonio del Mapeador de Puertos de Erlang (EPMD), facilitando la comunicación entre nodos dentro de un clúster de Erlang. Esta configuración forma una red donde cada nodo está interconectado con todos los demás nodos.
Se destaca un aviso de seguridad crucial con respecto al puerto `4369`. Si este puerto se hace accesible a través de Internet o cualquier red no confiable, la seguridad del sistema depende en gran medida de un identificador único conocido como la "cookie". Esta cookie actúa como una salvaguarda. Por ejemplo, en una lista de procesos dada, se podría observar una cookie llamada "monster", lo que indica su papel operativo en el marco de seguridad del sistema.
Para aquellos interesados en entender cómo esta "cookie" puede ser explotada para la Ejecución Remota de Código (RCE) dentro del contexto de sistemas Erlang, hay una sección dedicada disponible para lectura adicional. Detalla las metodologías para aprovechar las cookies de Erlang de manera no autorizada para lograr control sobre los sistemas. Puedes **[explorar la guía detallada sobre el abuso de cookies de Erlang para RCE aquí](4369-pentesting-erlang-port-mapper-daemon-epmd.md#erlang-cookie-rce)**.
Se exploró una vulnerabilidad recientemente divulgada, CVE-2018-8007, que afecta a Apache CouchDB, revelando que la explotación requiere permisos de escritura en el archivo `local.ini`. Aunque no es directamente aplicable al sistema objetivo inicial debido a restricciones de seguridad, se realizaron modificaciones para otorgar acceso de escritura al archivo `local.ini` con fines de exploración. A continuación, se proporcionan pasos detallados y ejemplos de código, demostrando el proceso.
Primero, se prepara el entorno asegurándose de que el archivo `local.ini` sea escribible, verificado mediante la lista de permisos:
Para explotar la vulnerabilidad, se ejecuta un comando curl, apuntando a la configuración `cors/origins` en `local.ini`. Esto inyecta un nuevo origen junto con comandos adicionales bajo la sección `[os_daemons]`, con el objetivo de ejecutar código arbitrario:
Inicialmente, el archivo esperado (`/tmp/0xdf`) no existe, lo que indica que el comando inyectado aún no se ha ejecutado. Una investigación adicional revela que hay procesos relacionados con CouchDB en ejecución, incluido uno que potencialmente podría ejecutar el comando inyectado:
Al terminar el proceso de CouchDB identificado y permitir que el sistema lo reinicie automáticamente, se activa la ejecución del comando inyectado, confirmado por la existencia del archivo previamente faltante:
Esta exploración confirma la viabilidad de la explotación de CVE-2018-8007 bajo condiciones específicas, especialmente el requisito de acceso de escritura al archivo `local.ini`. Los ejemplos de código proporcionados y los pasos procedimentales ofrecen una guía clara para replicar el exploit en un entorno controlado.
Para más detalles sobre CVE-2018-8007, consulta el aviso de mdsec: [CVE-2018-8007](https://www.mdsec.co.uk/2018/08/advisory-cve-2018-8007-apache-couchdb-remote-code-execution/).
Se exploró una vulnerabilidad conocida como CVE-2017-12636, que permite la ejecución de código a través del proceso de CouchDB, aunque configuraciones específicas pueden evitar su explotación. A pesar de la disponibilidad de numerosas referencias de Prueba de Concepto (POC) en línea, se requieren ajustes para explotar la vulnerabilidad en la versión 2 de CouchDB, que difiere de la versión comúnmente objetivo 1.x. Los pasos iniciales implican verificar la versión de CouchDB y confirmar la ausencia de la ruta esperada de los servidores de consulta.
Los intentos de agregar e invocar un nuevo servidor de consultas se encontraron con errores relacionados con los permisos, como se indica en la siguiente salida:
Además de la investigación inicial, se descubrieron problemas de permisos con el archivo `local.ini`, el cual no era modificable. Al modificar los permisos del archivo con acceso de root o de homer, fue posible continuar:
Los intentos posteriores de agregar el servidor de consultas tuvieron éxito, como se demostró por la ausencia de mensajes de error en la respuesta. La modificación exitosa del archivo `local.ini` fue confirmada mediante la comparación de archivos:
El proceso continuó con la creación de una base de datos y un documento, seguido por un intento de ejecutar código a través de un mapeo de vista personalizado hacia el servidor de consulta recién agregado:
Un **[resumen](https://github.com/carlospolop/hacktricks/pull/116/commits/e505cc2b557610ef5cce09df6a14b10caf8f75a0)** con un payload alternativo proporciona más información sobre la explotación de CVE-2017-12636 bajo condiciones específicas. **Recursos útiles** para explotar esta vulnerabilidad incluyen:
- [Código de exploit POC](https://raw.githubusercontent.com/vulhub/vulhub/master/couchdb/CVE-2017-12636/exp.py)
- [Entrada de Exploit Database](https://www.exploit-db.com/exploits/44913/)
<summary><strong>Aprende hacking en AWS de cero a héroe con</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si deseas ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Obtén el [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **síguenos** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
