<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-moi** sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
CouchDB est une base de données orientée document où chaque champ est stocké sous forme de cartes clé-valeur. Les champs peuvent être une paire clé/valeur simple, une liste ou une carte.
Chaque document stocké dans la base de données se voit attribuer un identifiant unique au niveau du document (`_id`) ainsi qu'un numéro de révision (`_rev`) pour chaque modification enregistrée dans la base de données.
Notez que si en accédant à la racine de couchdb vous recevez un `401 Unauthorized` avec quelque chose comme ceci : `{"error":"unauthorized","reason":"Authentication required."}`, **vous ne pourrez pas accéder** à la bannière ou à tout autre point de terminaison.
Voici les points de terminaison où vous pouvez accéder avec une requête **GET** et extraire des informations intéressantes. Vous pouvez trouver [**plus de points de terminaison et des descriptions plus détaillées dans la documentation de couchdb**](https://docs.couchdb.org/en/latest/api/index.html).
* **`/_active_tasks`** Liste des tâches en cours, incluant le type de tâche, le nom, le statut et l'ID du processus.
* **`/_all_dbs`** Renvoie une liste de toutes les bases de données dans l'instance CouchDB.
* **`/_cluster_setup`** Renvoie le statut du nœud ou du cluster, selon l'assistant de configuration du cluster.
* **`/_db_updates`** Renvoie une liste de tous les événements de base de données dans l'instance CouchDB. L'existence de la base de données `_global_changes` est requise pour utiliser ce point de terminaison.
* **`/_membership`** Affiche les nœuds qui font partie du cluster en tant que `cluster_nodes`. Le champ `all_nodes` affiche tous les nœuds que ce nœud connaît, y compris ceux qui font partie du cluster.
* **`/_scheduler/jobs`** Liste des travaux de réplication. Chaque description de travail inclura des informations sur la source et la cible, l'ID de réplication, un historique des événements récents, et quelques autres choses.
* **`/_scheduler/docs`** Liste des états des documents de réplication. Comprend des informations sur tous les documents, même dans les états `completed` et `failed`. Pour chaque document, il retourne l'ID du document, la base de données, l'ID de réplication, la source et la cible, et d'autres informations.
* **`/_node/{node-name}`** Le point de terminaison `/_node/{node-name}` peut être utilisé pour confirmer le nom du nœud Erlang du serveur qui traite la requête. Cela est particulièrement utile lors de l'accès à `/_node/_local` pour récupérer cette information.
* **`/_node/{node-name}/_stats`** La ressource `_stats` renvoie un objet JSON contenant les statistiques pour le serveur en cours d'exécution. La chaîne littérale `_local` sert d'alias pour le nom du nœud local, donc pour toutes les URL de statistiques, `{node-name}` peut être remplacé par `_local`, pour interagir avec les statistiques du nœud local.
* **`/_node/{node-name}/_system`** La ressource \_system renvoie un objet JSON contenant diverses statistiques de niveau système pour le serveur en cours d'exécution. Vous pouvez utiliser \_`_local` comme {node-name} pour obtenir les informations du nœud actuel.
* **`/_up`** Confirme que le serveur est opérationnel, en cours d'exécution et prêt à répondre aux requêtes. Si [`maintenance_mode`](https://docs.couchdb.org/en/latest/config/couchdb.html#couchdb/maintenance_mode) est `true` ou `nolb`, le point de terminaison renverra une réponse 404.
* **`/_uuids`** Demande un ou plusieurs Identifiants Universels Uniques (UUID) de l'instance CouchDB.
* **`/_reshard`** Renvoie un décompte des travaux terminés, échoués, en cours, arrêtés et le total des travaux ainsi que l'état du remaillage sur le cluster.
Plus d'informations intéressantes peuvent être extraites comme expliqué ici : [https://lzone.de/cheat-sheet/CouchDB](https://lzone.de/cheat-sheet/CouchDB)
Afin de trouver des identifiants valides, vous pourriez **essayer de** [**forcer brutalement le service**](../generic-methodologies-and-resources/brute-force.md#couchdb).
Voici un **exemple** de **réponse** couchdb lorsque vous avez **suffisamment de privilèges** pour lister les bases de données (C'est simplement une liste de bdd) :
Vous pouvez obtenir certaines informations sur la base de données (comme le nombre de fichiers et les tailles) en accédant au nom de la base de données :
Grâce aux différences entre les analyseurs JSON d'Erlang et de JavaScript, vous pourriez **créer un utilisateur admin** avec les identifiants `hacktricks:hacktricks` avec la requête suivante :
Dans la documentation de CouchDB, dans la [section de configuration du cluster](http://docs.couchdb.org/en/stable/cluster/setup.html#cluster-setup), il est question des différents ports utilisés par CouchDB :
> Erlang utilise le port TCP `4369` (EPMD) pour trouver d'autres nœuds, donc tous les serveurs doivent pouvoir communiquer entre eux sur ce port. Dans un cluster Erlang, tous les nœuds sont connectés à tous les autres nœuds. Un maillage.
**Vous pouvez** [**lire cette section pour apprendre comment abuser des cookies Erlangs pour obtenir un RCE**](4369-pentesting-erlang-port-mapper-daemon-epmd.md#erlang-cookie-rce)**.**\
De plus, vous pouvez lire certains **writeups de machines HTB Canape** [**comme celui-ci**](https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution) pour voir et **pratiquer** comment **exploiter cette vulnérabilité**.
En écrivant cet article, j'ai découvert qu'un nouveau CVE avait été publié pour CouchDB par mdsec, [CVE-2018-8007](https://www.mdsec.co.uk/2018/08/advisory-cve-2018-8007-apache-couchdb-remote-code-execution/). Il nécessite également des droits d'écriture sur le fichier `local.ini`, donc ce n'est pas une option utile pour Canape. Mais puisque j'ai déjà rendu ce fichier modifiable en tant que root, voyons si nous pouvons le faire fonctionner.
Nous pouvons utiliser curl pour modifier les origines dans le fichier `local.ini`. La vulnérabilité ici est que si nous utilisons curl pour ajouter une nouvelle origine et ensuite des nouvelles lignes, nous pouvons écrire des informations supplémentaires, y compris un nouvel en-tête et des détails. Nous allons donc tirer parti du champ `[os_daemons]`, et ajouter un processus que CouchDB essaiera de maintenir en fonctionnement :
Si nous examinons les processus en cours avec "couchdb" dans la cmdline, nous voyons non seulement la ligne de commande qui nous donne la valeur du cookie que nous avons utilisée plus tôt, mais aussi `runsrv couchdb` :
Nous devrions écrire un nouveau query\_server, puis l'invoquer. Lorsque Canape a été publié, la plupart des POCs étaient pour couchdb 1.x, mais cette box fonctionne sous la version 2, donc le chemin des query\_servers de la plupart des POCs n'existe pas. Cela a changé maintenant, mais nous allons suivre les mêmes étapes. D'abord, obtenir la version, et montrer que le chemin 1.X n'existe pas :
Une recherche sur Google indique que c'est un problème de permissions. En effet, si nous vérifions avec notre shell root, nous pouvons voir que le fichier `local.ini` n'est modifiable par personne, encore moins par www-data :
Donc, c'est une impasse pour Canape. Mais si nous voulons essayer de le faire fonctionner, nous pouvons le rendre lisible avec notre accès root ou homer, et continuer sur cette voie. Nous ferons une sauvegarde de l'original pour pouvoir voir les changements :
Nous récupérons la valeur précédente pour le serveur de requête cmd, ce qui signifie que c'est un succès. Et dans le shell root, nous pouvons voir que cela a fonctionné :
Maintenant, nous devrions être en mesure de créer une base de données (db), puis un document dans cette db, et ensuite le requêter avec une vue qui mappe notre query_server pour obtenir l'exécution.
<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> !</strong></summary>
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez**-moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de hacking en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
