hacktricks/network-services-pentesting/9200-pentesting-elasticsearch.md

# 9200 - Elasticsearch Pentesting

<details>

<summary><strong>AWS hacklemeyi sıfırdan kahraman olmaya öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**]'na göz atın (https://github.com/sponsors/carlospolop)!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)'yi keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu
* **Katılın** 💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)'da **takip edin**.
* **Hacking püf noktalarınızı paylaşarak PR'lar göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.

</details>

## Temel bilgiler

Elasticsearch, **tüm veri türleri** için **dağıtık**, **açık kaynaklı** bir arama ve analiz motorudur. **Hızı**, **ölçeklenebilirliği** ve **basit REST API'leri** ile bilinir. Apache Lucene üzerine inşa edilen Elasticsearch, ilk kez 2010 yılında Elasticsearch N.V. (şimdi Elastic olarak bilinir) tarafından piyasaya sürüldü. Elasticsearch, veri alımı, zenginleştirme, depolama, analiz ve görselleştirme için açık kaynak araçlar koleksiyonu olan Elastic Stack'in temel bileşenidir. Bu yığın genellikle ELK Yığını olarak adlandırılır ve Logstash ve Kibana'yı da içerir; şimdi ise hafif veri taşıma ajanları olan Beats de bulunmaktadır.

### Elasticsearch indeksi nedir?

Bir Elasticsearch **indeksi**, **JSON** olarak depolanan **ilgili belgelerin** bir koleksiyonudur. Her belge, **anahtarlar** ve bunların karşılık gelen **değerleri** (dizeler, sayılar, boole, tarihler, diziler, coğrafi konumlar vb.) içerir.

Elasticsearch, hızlı tam metin aramaları kolaylaştırmak için verimli bir veri yapısı olan **ters indeks** kullanır. Bu indeks, belgelerdeki her benzersiz kelimeyi listeler ve her kelimenin hangi belgelerde göründüğünü belirler.

İndeksleme süreci sırasında Elasticsearch, belgeleri depolar ve ters indeksi oluşturur, böylece neredeyse gerçek zamanlı aramalar yapılabilir. **İndeks API'si**, belirli bir indeks içinde JSON belgeleri eklemek veya güncellemek için kullanılır.

**Varsayılan bağlantı noktası**: 9200/tcp

## Manuel Numaralandırma

### Banner

Elasticsearch'e erişmek için kullanılan protokol **HTTP**'dir. HTTP üzerinden eriştiğinizde bazı ilginç bilgiler bulacaksınız: `http://10.10.10.115:9200/`

![](<../.gitbook/assets/image (291).png>)

`/`'ye erişerek bu yanıtı görmüyorsanız aşağıdaki bölüme bakın.

### Kimlik Doğrulama

**Varsayılan olarak Elasticsearch'te kimlik doğrulama etkin değildir**, bu nedenle varsayılan olarak herhangi bir kimlik bilgisi kullanmadan veritabanındaki her şeye erişebilirsiniz.

Kimlik doğrulamanın devre dışı bırakıldığını doğrulamak için şu isteği yapabilirsiniz:
```bash
curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}
```
**Ancak**, `/` adresine bir istek gönderirseniz ve aşağıdaki gibi bir yanıt alırsanız:
```bash
{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}
```
Bu, kimlik doğrulamasının yapılandırıldığı ve elasticserach'ten herhangi bir bilgi almak için geçerli kimlik bilgilerine ihtiyaç duyulduğu anlamına gelir. Daha sonra [**bruteforce deneyebilirsiniz**](../generic-methodologies-and-resources/brute-force.md#elasticsearch) (HTTP basic auth kullanır, bu yüzden HTTP basic auth'i BF etmek için herhangi bir şey kullanılabilir).\
İşte bir **liste varsayılan kullanıcı adları**: _**elastic** (süper kullanıcı), remote\_monitoring\_user, beats\_system, logstash\_system, kibana, kibana\_system, apm\_system,_ \_anonymous\_.\_ Eski Elasticsearch sürümlerinde bu kullanıcı için varsayılan şifre **changeme**'dir.
```
curl -X GET http://user:password@IP:9200/
```
### Temel Kullanıcı Numaralandırma
```bash
#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"

#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"

#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"
```
### Elastic Bilgisi

İşte Elasticsearch hakkında bazı bilgileri **edinmek için GET ile erişebileceğiniz** bazı uç noktalar:

| \_cat                           | /\_cluster                    | /\_security               |
| ------------------------------- | ----------------------------- | ------------------------- |
| /\_cat/segments                 | /\_cluster/allocation/explain | /\_security/user          |
| /\_cat/shards                   | /\_cluster/settings           | /\_security/privilege     |
| /\_cat/repositories             | /\_cluster/health             | /\_security/role\_mapping |
| /\_cat/recovery                 | /\_cluster/state              | /\_security/role          |
| /\_cat/plugins                  | /\_cluster/stats              | /\_security/api\_key      |
| /\_cat/pending\_tasks           | /\_cluster/pending\_tasks     |                           |
| /\_cat/nodes                    | /\_nodes                      |                           |
| /\_cat/tasks                    | /\_nodes/usage                |                           |
| /\_cat/templates                | /\_nodes/hot\_threads         |                           |
| /\_cat/thread\_pool             | /\_nodes/stats                |                           |
| /\_cat/ml/trained\_models       | /\_tasks                      |                           |
| /\_cat/transforms/\_all         | /\_remote/info                |                           |
| /\_cat/aliases                  |                               |                           |
| /\_cat/allocation               |                               |                           |
| /\_cat/ml/anomaly\_detectors    |                               |                           |
| /\_cat/count                    |                               |                           |
| /\_cat/ml/data\_frame/analytics |                               |                           |
| /\_cat/ml/datafeeds             |                               |                           |
| /\_cat/fielddata                |                               |                           |
| /\_cat/health                   |                               |                           |
| /\_cat/indices                  |                               |                           |
| /\_cat/master                   |                               |                           |
| /\_cat/nodeattrs                |                               |                           |
| /\_cat/nodes                    |                               |                           |

Bu uç noktalar [**belgelerden alınmıştır**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html) ve daha fazlasını **bulabilirsiniz**.\
Ayrıca, `/_cat`'e erişirseniz yanıt, örneğin desteklenen `/_cat/*` uç noktalarını içerecektir.

`/_security/user`'da (kimlik doğrulama etkinse) `superuser` rolüne sahip olan kullanıcıyı görebilirsiniz.

### İndeksler

Tüm indeksleri **toplayabilirsiniz** `http://10.10.10.115:9200/_cat/indices?v` adresine erişerek.
```
health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana 6tjAYZrgQ5CwwR0g6VOoRg   1   0          1            0        4kb            4kb
yellow open   quotes  ZG2D1IqkQNiNZmi2HRImnQ   5   1        253            0    262.7kb        262.7kb
yellow open   bank    eSVpNfCfREyYoVigNWcrMw   5   1       1000            0    483.2kb        483.2kb
```
**İndeks içinde hangi tür verilerin kaydedildiği hakkında bilgi** almak için şu adrese erişebilirsiniz: `http://host:9200/<index>` örneğin bu durumda `http://10.10.10.115:9200/bank`

![](<../.gitbook/assets/image (339).png>)

### İndeksi Dök

Bir indeksin **tüm içeriğini dökmek** istiyorsanız şu adrese erişebilirsiniz: `http://host:9200/<index>/_search?pretty=true` gibi `http://10.10.10.115:9200/bank/_search?pretty=true`

![](<../.gitbook/assets/image (911).png>)

_Bank indeksi içindeki her belgenin (girişin) içeriğini ve bu indeksin önceki bölümde gördüğümüz alanlarını karşılaştırmak için biraz zaman ayırın._

Bu noktada **"hits" içinde "total" adında bir alan olduğunu fark edebilirsiniz** ve bu indeks içinde **1000 belgenin bulunduğunu ancak yalnızca 10'unun alındığını** gösterir. Bu, **varsayılan olarak 10 belge sınırı olduğu için** gerçekleşir.\
Ancak, şimdi **bu indeksin 1000 belge içerdiğini** bildiğinize göre, **tümünü dökebilirsiniz** ve **dökmek istediğiniz giriş sayısını belirterek** `size` parametresinde: `http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000`\
_Not: Daha büyük bir sayı belirtirseniz tüm girişler yine dökülecektir, örneğin `size=9999` belirtebilir ve daha fazla giriş olması garip olurdu (ancak kontrol etmelisiniz)._

### Tümünü Dök

Tümünü dökmek için sadece **önceki indeksi belirtmeden aynı yola gidebilirsiniz** `http://host:9200/_search?pretty=true` gibi `http://10.10.10.115:9200/_search?pretty=true`\
Unutmayın ki bu durumda **varsayılan 10** sonuç sınırı uygulanacaktır. Daha fazla sonuç dökmek için `size` parametresini kullanabilirsiniz. Daha fazla bilgi için önceki bölümü okuyun.

### Arama

Bir bilgi arıyorsanız **tüm indekslerde doğrudan arama yapabilirsiniz** `http://host:9200/_search?pretty=true&q=<arama_terimi>` gibi `http://10.10.10.115:9200/_search?pretty=true&q=Rockwell`

![](<../.gitbook/assets/image (332).png>)

Sadece **bir indekste arama yapmak** istiyorsanız **yolu belirtmeniz yeterlidir**: `http://host:9200/<index>/_search?pretty=true&q=<arama_terimi>`

_Arama içeriğini aramak için kullanılan q parametresinin **düzenli ifadeleri desteklediğini** unutmayın_

Ayrıca, bir Elasticsearch hizmetini fuzz etmek için [https://github.com/misalabs/horuz](https://github.com/misalabs/horuz) gibi bir şey kullanabilirsiniz.

### Yazma İzinleri

Yazma izinlerinizi kontrol edebilir ve yeni bir belge oluşturmayı deneyerek yeni bir indeks içinde çalıştırabilirsiniz:
```bash
curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'
```
Bu komut, "_bookId_", "_author_", "_publisher_" ve "_name_" özniteliklerine sahip `books` türünde bir belgeye sahip `bookindex` adında **yeni bir dizin** oluşturacaktır.

Yeni dizinin şimdi listede nasıl göründüğüne dikkat edin:

![](<../.gitbook/assets/image (127).png>)

Ve **otomatik olarak oluşturulan özelliklere** dikkat edin:

![](<../.gitbook/assets/image (431).png>)

## Otomatik Numaralandırma

Bazı araçlar, önceden sunulan verilerin bazılarını elde edecektir:
```bash
msf > use auxiliary/scanner/elasticsearch/indices_enum
```
{% embed url="https://github.com/theMiddleBlue/nmap-elasticsearch-nse" %}

## Shodan

* `port:9200 elasticsearch`

<details>

<summary><strong>AWS hackleme konusunda sıfırdan kahramana kadar öğrenin</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

HackTricks'ı desteklemenin diğer yolları:

* **Şirketinizi HackTricks'te reklamını görmek istiyorsanız** veya **HackTricks'i PDF olarak indirmek istiyorsanız** [**ABONELİK PLANLARI**]'na göz atın (https://github.com/sponsors/carlospolop)!
* [**Resmi PEASS & HackTricks ürünlerini**](https://peass.creator-spring.com) edinin
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family) koleksiyonumuzu keşfedin, özel [**NFT'lerimiz**](https://opensea.io/collection/the-peass-family)
* **💬 [**Discord grubuna**](https://discord.gg/hRep4RUj7f) veya [**telegram grubuna**](https://t.me/peass) katılın veya bizi **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** takip edin.**
* **Hacking püf noktalarınızı paylaşarak PR'lar göndererek** [**HackTricks**](https://github.com/carlospolop/hacktricks) ve [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github depolarına katkıda bulunun.

</details>