- Travaillez-vous dans une entreprise de cybersécurité? Voulez-vous voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
- **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
CouchDB est une base de données orientée document et chaque champ est stocké sous forme de carte clé-valeur. Les champs peuvent être soit une simple paire clé/valeur, une liste ou une carte.
Chaque document stocké dans la base de données reçoit un identifiant unique au niveau du document (`_id`) ainsi qu'un numéro de révision (`_rev`) pour chaque modification qui est effectuée et enregistrée dans la base de données.
Nmap est un outil de scan de ports très populaire qui peut être utilisé pour scanner les ports d'un serveur CouchDB. Pour scanner un serveur CouchDB, utilisez la commande suivante :
```
nmap -p 5984 <couchdb_ip>
```
Nmap peut également être utilisé pour effectuer une détection de version sur le serveur CouchDB en utilisant l'option `-sV` :
CouchDB Fauxton est une interface web pour CouchDB qui peut être utilisée pour effectuer une énumération automatique des bases de données. Pour accéder à Fauxton, ouvrez un navigateur et accédez à l'URL suivante :
Notez que si vous accédez à la racine de couchdb, vous recevrez une réponse `401 Unauthorized` avec quelque chose comme ceci: `{"error":"unauthorized","reason":"Authentication required."}`**vous ne pourrez pas accéder** à la bannière ou à tout autre point d'accès.
Voici les points d'accès auxquels vous pouvez accéder avec une requête **GET** et extraire des informations intéressantes. Vous pouvez trouver [**plus de points d'accès et de descriptions plus détaillées dans la documentation de couchdb**](https://docs.couchdb.org/en/latest/api/index.html).
* **`/_active_tasks`** Liste des tâches en cours d'exécution, y compris le type de tâche, le nom, l'état et l'ID de processus.
* \*\*`/_all_dbs`\*\*Retourne une liste de toutes les bases de données de l'instance CouchDB.
* \*\*`/_cluster_setup`\*\*Retourne l'état du nœud ou du cluster, selon l'assistant de configuration de cluster.
* **`/_db_updates`** Retourne une liste de tous les événements de base de données dans l'instance CouchDB. L'existence de la base de données `_global_changes` est requise pour utiliser ce point d'accès.
* **`/_membership`** Affiche les nœuds qui font partie du cluster en tant que `cluster_nodes`. Le champ `all_nodes` affiche tous les nœuds que ce nœud connaît, y compris ceux qui font partie du cluster.
* **`/_scheduler/jobs`** Liste des travaux de réplication. Chaque description de travail inclura des informations sur la source et la cible, l'ID de réplication, un historique des événements récents et quelques autres choses.
* **`/_scheduler/docs`** Liste des états de document de réplication. Comprend des informations sur tous les documents, même dans les états `completed` et `failed`. Pour chaque document, il renvoie l'ID de document, la base de données, l'ID de réplication, la source et la cible, et d'autres informations.
* **`/_node/{node-name}`** Le point d'accès `/_node/{node-name}` peut être utilisé pour confirmer le nom de nœud Erlang du serveur qui traite la demande. Cela est particulièrement utile lors de l'accès à `/_node/_local` pour récupérer ces informations.
* **`/_node/{node-name}/_stats`** La ressource `_stats` renvoie un objet JSON contenant les statistiques du serveur en cours d'exécution. La chaîne littérale `_local` sert d'alias pour le nom de nœud local, donc pour toutes les URL de statistiques, `{node-name}` peut être remplacé par `_local`, pour interagir avec les statistiques du nœud local.
* **`/_node/{node-name}/_system`** La ressource \_system renvoie un objet JSON contenant diverses statistiques de niveau système pour le serveur en cours d'exécution. Vous pouvez utiliser \_\_`_local` comme {node-name} pour obtenir les informations actuelles du nœud.
* **`/_up`** Confirme que le serveur est en marche et prêt à répondre aux demandes. Si [`maintenance_mode`](https://docs.couchdb.org/en/latest/config/couchdb.html#couchdb/maintenance\_mode) est `true` ou `nolb`, le point d'accès renverra une réponse 404.
* \*\*`/_uuids`\*\*Demande un ou plusieurs Identifiants Universellement Uniques (UUID) à partir de l'instance CouchDB.
* \*\*`/_reshard`\*\*Retourne un compte des travaux terminés, échoués, en cours d'exécution, arrêtés et totaux ainsi que l'état du resharding sur le cluster.
D'autres informations intéressantes peuvent être extraites comme expliqué ici: [https://lzone.de/cheat-sheet/CouchDB](https://lzone.de/cheat-sheet/CouchDB)
Pour trouver des identifiants valides, vous pourriez **essayer de** [**forcer le service**](../generic-methodologies-and-resources/brute-force.md#couchdb).
Voici un **exemple** de réponse couchdb lorsque vous avez **suffisamment de privilèges** pour lister les bases de données (il s'agit simplement d'une liste de bases de données) :
Vous pouvez obtenir certaines informations sur la base de données (comme le nombre de fichiers et leur taille) en accédant au nom de la base de données :
Grâce aux différences entre les analyseurs JSON Erlang et JavaScript, vous pouvez **créer un utilisateur administrateur** avec les identifiants `hacktricks:hacktricks` en envoyant la requête suivante :
Dans la documentation de CouchDB, dans la section [configuration de cluster](http://docs.couchdb.org/en/stable/cluster/setup.html#cluster-setup), il est question des différents ports utilisés par CouchDB :
> Erlang utilise le port TCP `4369` (EPMD) pour trouver d'autres nœuds, donc tous les serveurs doivent être capables de communiquer entre eux sur ce port. Dans un cluster Erlang, tous les nœuds sont connectés à tous les autres nœuds. Un maillage.
**Vous pouvez** [**lire cette section pour apprendre comment abuser des cookies Erlang pour obtenir une RCE**](4369-pentesting-erlang-port-mapper-daemon-epmd.md#erlang-cookie-rce)**.**\
De plus, vous pouvez lire certains **writeups de la machine Canape HTB** [**comme celui-ci**](https://0xdf.gitlab.io/2018/09/15/htb-canape.html#couchdb-execution) pour voir et **pratiquer** comment **exploiter cette vulnérabilité**.
En écrivant ce post, j'ai découvert qu'un nouveau CVE avait été publié pour CouchDB par mdsec, [CVE-2018-8007](https://www.mdsec.co.uk/2018/08/advisory-cve-2018-8007-apache-couchdb-remote-code-execution/). Il nécessite également des écritures dans le fichier `local.ini`, donc ce n'est pas une option utile pour Canape. Mais comme je l'ai déjà rendu accessible en écriture en tant que root, voyons si nous pouvons le faire fonctionner.
Nous pouvons utiliser curl pour modifier les origines dans le fichier `local.ini`. La vulnérabilité ici est que si nous utilisons curl pour mettre une nouvelle origine et ensuite des sauts de ligne, nous pouvons écrire des choses supplémentaires, y compris un nouvel en-tête et des détails. Nous allons donc profiter du champ `[os_daemons]` et ajouter un processus pour que CouchDB essaie de continuer à fonctionner:
Si nous examinons les processus en cours d'exécution avec "couchdb" dans la cmdline, nous voyons non seulement la ligne de commande qui nous donne la valeur du cookie que nous avons utilisée précédemment, mais aussi `runsrv couchdb`:
Nous devons écrire une nouvelle query\_server, puis l'invoquer. Lorsque Canape a été publié, la plupart des POC étaient pour couchdb 1.x, mais cette boîte exécute la version 2, donc le chemin query\_servers de la plupart des POC n'existe pas. Cela a changé maintenant, mais nous allons suivre les mêmes étapes. Tout d'abord, obtenir la version et montrer que le chemin 1.X n'existe pas :
Quelques recherches montrent qu'il s'agit d'un problème de permissions. En fait, si nous vérifions avec notre shell root, nous pouvons voir que le fichier `local.ini` n'est pas accessible en écriture par qui que ce soit, encore moins par www-data :
Donc, c'est une impasse pour Canape. Mais si nous voulons essayer de le faire fonctionner, nous pouvons le rendre lisible avec notre accès root ou homer, et continuer sur cette voie. Nous ferons une sauvegarde de l'original pour pouvoir voir les modifications:
Nous récupérons la valeur précédente pour la commande query server, ce qui signifie que c'est un succès. Et dans le shell root, nous pouvons voir que cela a fonctionné :
Maintenant, nous devrions être en mesure de créer une base de données, puis un document dans cette base de données, et ensuite le demander avec une vue qui mappe notre query\_server pour obtenir l'exécution.
- Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
- **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
