Learn & practice AWS Hacking:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Learn & practice GCP Hacking: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
**CouchDB** ist eine vielseitige und leistungsstarke **dokumentenorientierte Datenbank**, die Daten mithilfe einer **Schlüssel-Wert-Karten**-Struktur innerhalb jedes **Dokuments** organisiert. Felder innerhalb des Dokuments können als **Schlüssel/Wert-Paare, Listen oder Karten** dargestellt werden, was Flexibilität bei der Datenspeicherung und -abfrage bietet.
Jedes **Dokument**, das in CouchDB gespeichert ist, erhält eine **eindeutige Kennung** (`_id`) auf Dokumentenebene. Darüber hinaus wird jeder vorgenommenen und in der Datenbank gespeicherten Änderung eine **Versionsnummer** (`_rev`) zugewiesen. Diese Versionsnummer ermöglicht eine effiziente **Verfolgung und Verwaltung von Änderungen** und erleichtert die einfache Abfrage und Synchronisierung von Daten innerhalb der Datenbank.
Beachten Sie, dass Sie, wenn Sie auf die Wurzel von CouchDB zugreifen und eine `401 Unauthorized`-Antwort mit etwas wie `{"error":"unauthorized","reason":"Authentication required."}` erhalten, **nicht auf** das Banner oder einen anderen Endpunkt zugreifen können.
Dies sind die Endpunkte, auf die Sie mit einer **GET**-Anfrage zugreifen und einige interessante Informationen extrahieren können. Sie finden [**weitere Endpunkte und detailliertere Beschreibungen in der CouchDB-Dokumentation**](https://docs.couchdb.org/en/latest/api/index.html).
* **`/_db_updates`** Gibt eine Liste aller Datenbankereignisse in der CouchDB-Instanz zurück. Die Existenz der `_global_changes`-Datenbank ist erforderlich, um diesen Endpunkt zu verwenden.
* **`/_membership`** Zeigt die Knoten an, die Teil des Clusters sind, als `cluster_nodes`. Das Feld `all_nodes` zeigt alle Knoten an, die dieser Knoten kennt, einschließlich derjenigen, die Teil des Clusters sind.
* **`/_scheduler/jobs`** Liste der Replikationsjobs. Jede Jobbeschreibung enthält Quell- und Zielinformationen, Replikations-ID, eine Historie der letzten Ereignisse und einige andere Dinge.
* **`/_scheduler/docs`** Liste der Replikationsdokumentzustände. Enthält Informationen über alle Dokumente, auch in `completed` und `failed` Zuständen. Für jedes Dokument werden die Dokument-ID, die Datenbank, die Replikations-ID, Quelle und Ziel sowie andere Informationen zurückgegeben.
* **`/_node/{node-name}`** Der `/_node/{node-name}`-Endpunkt kann verwendet werden, um den Erlang-Knotennamen des Servers zu bestätigen, der die Anfrage verarbeitet. Dies ist am nützlichsten, wenn Sie auf `/_node/_local` zugreifen, um diese Informationen abzurufen.
* **`/_node/{node-name}/_stats`** Die `_stats`-Ressource gibt ein JSON-Objekt zurück, das die Statistiken für den laufenden Server enthält. Der Literalstring `_local` dient als Alias für den lokalen Knotennamen, sodass für alle Statistiken-URLs `{node-name}` durch `_local` ersetzt werden kann, um mit den Statistiken des lokalen Knotens zu interagieren.
* **`/_node/{node-name}/_system`** Die \_systemressource gibt ein JSON-Objekt zurück, das verschiedene systemweite Statistiken für den laufenden Server enthält. Sie können \_\_`_local` als {node-name} verwenden, um aktuelle Knoteninformationen zu erhalten.
* **`/_up`** Bestätigt, dass der Server aktiv, betriebsbereit und bereit ist, auf Anfragen zu antworten. Wenn [`maintenance_mode`](https://docs.couchdb.org/en/latest/config/couchdb.html#couchdb/maintenance\_mode) `true` oder `nolb` ist, gibt der Endpunkt eine 404-Antwort zurück.
* **`/_uuids`** Fordert eine oder mehrere Universally Unique Identifiers (UUIDs) von der CouchDB-Instanz an.
* **`/_reshard`** Gibt eine Anzahl von abgeschlossenen, fehlgeschlagenen, laufenden, gestoppten und insgesamt Jobs zusammen mit dem Status des Reshardings im Cluster zurück.
Weitere interessante Informationen können wie hier erklärt extrahiert werden: [https://lzone.de/cheat-sheet/CouchDB](https://lzone.de/cheat-sheet/CouchDB)
Um gültige Anmeldeinformationen zu finden, könnten Sie **versuchen**, [**den Dienst zu bruteforcen**](../generic-methodologies-and-resources/brute-force.md#couchdb).
Dies ist ein **Beispiel** für eine CouchDB **Antwort**, wenn Sie **genug Berechtigungen** haben, um Datenbanken aufzulisten (Es ist nur eine Liste von DBs):
Dank der Unterschiede zwischen Erlang- und JavaScript-JSON-Parsern könnten Sie **einen Admin-Benutzer** mit den Anmeldeinformationen `hacktricks:hacktricks` mit der folgenden Anfrage erstellen:
In der CouchDB-Dokumentation, insbesondere im Abschnitt über die Cluster-Einrichtung ([link](http://docs.couchdb.org/en/stable/cluster/setup.html#cluster-setup)), wird die Verwendung von Ports durch CouchDB im Cluster-Modus besprochen. Es wird erwähnt, dass, wie im Standalone-Modus, der Port `5984` verwendet wird. Zusätzlich ist der Port `5986` für node-lokale APIs vorgesehen, und wichtig ist, dass Erlang den TCP-Port `4369` für den Erlang Port Mapper Daemon (EPMD) benötigt, um die Kommunikation zwischen den Knoten innerhalb eines Erlang-Clusters zu erleichtern. Dieses Setup bildet ein Netzwerk, in dem jeder Knoten mit jedem anderen Knoten verbunden ist.
Ein wichtiger Sicherheitshinweis wird bezüglich des Ports `4369` hervorgehoben. Wenn dieser Port über das Internet oder ein untrusted Netzwerk zugänglich gemacht wird, hängt die Sicherheit des Systems stark von einem einzigartigen Identifikator ab, der als "Cookie" bekannt ist. Dieses Cookie fungiert als Schutzmaßnahme. Zum Beispiel könnte in einer gegebenen Prozessliste das Cookie mit dem Namen "monster" beobachtet werden, was auf seine operative Rolle im Sicherheitsrahmen des Systems hinweist.
Für diejenigen, die verstehen möchten, wie dieses "Cookie" für Remote Code Execution (RCE) im Kontext von Erlang-Systemen ausgenutzt werden kann, steht ein spezieller Abschnitt für weiterführende Lektüre zur Verfügung. Er beschreibt die Methoden zur unbefugten Nutzung von Erlang-Cookies, um Kontrolle über Systeme zu erlangen. Sie können **[den detaillierten Leitfaden zum Missbrauch von Erlang-Cookies für RCE hier erkunden](4369-pentesting-erlang-port-mapper-daemon-epmd.md#erlang-cookie-rce)**.
Eine kürzlich offengelegte Schwachstelle, CVE-2018-8007, die Apache CouchDB betrifft, wurde untersucht und zeigte, dass die Ausnutzung Schreibberechtigungen für die Datei `local.ini` erfordert. Obwohl dies aufgrund von Sicherheitsbeschränkungen nicht direkt auf das ursprüngliche Zielsystem anwendbar ist, wurden Änderungen vorgenommen, um Schreibzugriff auf die Datei `local.ini` zu gewähren, um Erkundungszwecke zu ermöglichen. Detaillierte Schritte und Codebeispiele sind unten aufgeführt, die den Prozess demonstrieren.
Zuerst wird die Umgebung vorbereitet, indem sichergestellt wird, dass die Datei `local.ini` beschreibbar ist, was durch Auflisten der Berechtigungen überprüft wird:
Um die Schwachstelle auszunutzen, wird ein curl-Befehl ausgeführt, der die `cors/origins`-Konfiguration in `local.ini` anvisiert. Dies injiziert einen neuen Ursprung zusammen mit zusätzlichen Befehlen im Abschnitt `[os_daemons]`, um beliebigen Code auszuführen:
Nachfolgende Überprüfungen zeigen die injizierte Konfiguration in `local.ini`, indem sie mit einem Backup verglichen wird, um die Änderungen hervorzuheben:
Ursprünglich existiert die erwartete Datei (`/tmp/0xdf`) nicht, was darauf hindeutet, dass der injizierte Befehl noch nicht ausgeführt wurde. Weitere Untersuchungen zeigen, dass Prozesse im Zusammenhang mit CouchDB laufen, einschließlich eines, der möglicherweise den injizierten Befehl ausführen könnte:
Durch das Beenden des identifizierten CouchDB-Prozesses und das Zulassen, dass das System ihn automatisch neu startet, wird die Ausführung des injizierten Befehls ausgelöst, was durch die Existenz der zuvor fehlenden Datei bestätigt wird:
Diese Erkundung bestätigt die Durchführbarkeit der Ausnutzung von CVE-2018-8007 unter bestimmten Bedingungen, insbesondere der Anforderung nach schreibbarem Zugriff auf die `local.ini`-Datei. Die bereitgestellten Codebeispiele und Verfahrensschritte bieten eine klare Anleitung zur Replikation des Exploits in einer kontrollierten Umgebung.
Für weitere Details zu CVE-2018-8007 siehe die Mitteilung von mdsec: [CVE-2018-8007](https://www.mdsec.co.uk/2018/08/advisory-cve-2018-8007-apache-couchdb-remote-code-execution/).
Eine Schwachstelle, bekannt als CVE-2017-12636, wurde untersucht, die die Codeausführung über den CouchDB-Prozess ermöglicht, obwohl spezifische Konfigurationen deren Ausnutzung verhindern können. Trotz zahlreicher Proof of Concept (POC)-Referenzen, die online verfügbar sind, sind Anpassungen erforderlich, um die Schwachstelle in der CouchDB-Version 2 auszunutzen, die sich von der häufig angegriffenen Version 1.x unterscheidet. Die ersten Schritte bestehen darin, die CouchDB-Version zu überprüfen und das Fehlen des erwarteten Abfrage-Server-Pfades zu bestätigen:
Versuche, einen neuen Abfrage-Server hinzuzufügen und zu aktivieren, stießen auf berechtigungsbezogene Fehler, wie aus der folgenden Ausgabe hervorgeht:
Weitere Untersuchungen ergaben Berechtigungsprobleme mit der `local.ini`-Datei, die nicht beschreibbar war. Durch die Änderung der Dateiberechtigungen mit Root- oder Homer-Zugriff wurde es möglich, fortzufahren:
Nachfolgende Versuche, den Abfrageserver hinzuzufügen, waren erfolgreich, wie die fehlenden Fehlermeldungen in der Antwort zeigen. Die erfolgreiche Modifikation der `local.ini`-Datei wurde durch einen Dateivergleich bestätigt:
Der Prozess setzte sich mit der Erstellung einer Datenbank und eines Dokuments fort, gefolgt von einem Versuch, Code über eine benutzerdefinierte Ansicht, die auf den neu hinzugefügten Abfrageserver abgebildet ist, auszuführen:
A **[Zusammenfassung](https://github.com/carlospolop/hacktricks/pull/116/commits/e505cc2b557610ef5cce09df6a14b10caf8f75a0)** mit einer alternativen Payload bietet weitere Einblicke in die Ausnutzung von CVE-2017-12636 unter bestimmten Bedingungen. **Nützliche Ressourcen** zur Ausnutzung dieser Schwachstelle sind:
Lerne & übe AWS Hacking:<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<imgsrc="/.gitbook/assets/arte.png"alt=""data-size="line">\
Lerne & übe GCP Hacking: <imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<imgsrc="/.gitbook/assets/grte.png"alt=""data-size="line">](https://training.hacktricks.xyz/courses/grte)
* Überprüfe die [**Abonnementpläne**](https://github.com/sponsors/carlospolop)!
* **Tritt der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folge** uns auf **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
* **Teile Hacking-Tricks, indem du PRs zu den** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repos einreichst.
