2024-07-19 11:50:08 +00:00
# 9200 - Pentesting Elasticsearch
2022-04-28 16:01:33 +00:00
2024-07-19 11:50:08 +00:00
{% hint style="success" %}
Learn & practice AWS Hacking:< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
Learn & practice GCP Hacking: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**< img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > ](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
2024-07-19 11:50:08 +00:00
< details >
2022-04-28 16:01:33 +00:00
2024-07-19 11:50:08 +00:00
< summary > Support HackTricks< / summary >
2022-04-28 16:01:33 +00:00
2024-07-19 11:50:08 +00:00
* Check the [**subscription plans** ](https://github.com/sponsors/carlospolop )!
* **Join the** 💬 [**Discord group** ](https://discord.gg/hRep4RUj7f ) or the [**telegram group** ](https://t.me/peass ) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**.**
* **Share hacking tricks by submitting PRs to the** [**HackTricks** ](https://github.com/carlospolop/hacktricks ) and [**HackTricks Cloud** ](https://github.com/carlospolop/hacktricks-cloud ) github repos.
2022-04-28 16:01:33 +00:00
< / details >
2024-07-19 11:50:08 +00:00
{% endhint %}
2022-04-28 16:01:33 +00:00
2024-11-09 13:28:55 +00:00
< figure > < img src = "/.gitbook/assets/pentest-tools.svg" alt = "" > < figcaption > < / figcaption > < / figure >
2024-11-09 13:57:59 +00:00
**Get a hacker's perspective on your web apps, network, and cloud**
2024-11-09 13:28:55 +00:00
2024-11-09 13:57:59 +00:00
**Find and report critical, exploitable vulnerabilities with real business impact.** Use our 20+ custom tools to map the attack surface, find security issues that let you escalate privileges, and use automated exploits to collect essential evidence, turning your hard work into persuasive reports.
2024-11-09 13:28:55 +00:00
{% embed url="https://pentest-tools.com/?utm_term=jul2024& utm_medium=link& utm_source=hacktricks& utm_campaign=spons" %}
2023-07-07 23:42:27 +00:00
## 基本情報
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
Elasticsearchは、**分散型**、**オープンソース**の検索および分析エンジンで、**あらゆる種類のデータ**に対応しています。**速度**、**スケーラビリティ**、および**シンプルなREST API**で知られています。Apache Luceneの上に構築され、2010年にElasticsearch N.V.( )
2020-07-15 15:43:14 +00:00
2024-02-09 12:54:39 +00:00
### Elasticsearchインデックスとは?
2020-07-15 15:43:14 +00:00
2024-11-09 13:28:55 +00:00
Elasticsearchの**インデックス**は、**関連するドキュメント**のコレクションで、**JSON**として保存されます。各ドキュメントは、**キー**とそれに対応する**値**(文字列、数値、ブール値、日付、配列、地理位置情報など)で構成されています。
2020-07-15 15:43:14 +00:00
2024-11-09 13:28:55 +00:00
Elasticsearchは、効率的なデータ構造である**逆インデックス**を使用して、高速な全文検索を実現します。このインデックスは、ドキュメント内のすべてのユニークな単語をリストし、各単語が出現するドキュメントを特定します。
2020-07-15 15:43:14 +00:00
2024-07-19 11:50:08 +00:00
インデックス作成プロセス中に、Elasticsearchはドキュメントを保存し、逆インデックスを構築し、ほぼリアルタイムでの検索を可能にします。**インデックスAPI**は、特定のインデックス内のJSONドキュメントを追加または更新するために使用されます。
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
**デフォルトポート**: 9200/tcp
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
## 手動列挙
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
### バナー
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
Elasticsearchにアクセスするために使用されるプロトコルは**HTTP**です。HTTP経由でアクセスすると、いくつかの興味深い情報が得られます: `http://10.10.10.115:9200/`
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
 . png > )
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
`/` にアクセスしてその応答が表示されない場合は、次のセクションを参照してください。
2020-07-17 23:09:57 +00:00
2023-07-07 23:42:27 +00:00
### 認証
2020-07-17 23:09:57 +00:00
2024-11-09 13:57:59 +00:00
**デフォルトではElasticsearchには認証が有効になっていません**。そのため、デフォルトでは認証情報を使用せずにデータベース内のすべてにアクセスできます。
2021-01-28 13:40:17 +00:00
2024-07-19 11:50:08 +00:00
認証が無効になっていることを確認するには、次のリクエストを行います:
2021-01-28 13:40:17 +00:00
```bash
curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}
```
2024-07-19 11:50:08 +00:00
**しかし**、`/` にリクエストを送信し、次のようなレスポンスを受け取った場合:
2020-07-17 23:09:57 +00:00
```bash
{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}
```
2024-11-09 13:28:55 +00:00
それは、認証が設定されており、**有効な資格情報**が必要であることを意味します。次に、[**ブルートフォース攻撃を試みることができます**](../generic-methodologies-and-resources/brute-force.md#elasticsearch)( )
2024-07-19 11:50:08 +00:00
ここに**デフォルトのユーザー名のリスト**があります: ( )
2021-10-18 11:21:18 +00:00
```
2020-10-05 11:46:57 +00:00
curl -X GET http://user:password@IP:9200/
```
2023-07-07 23:42:27 +00:00
### 基本的なユーザー列挙
2021-01-28 13:40:17 +00:00
```bash
#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"
#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"
#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/< USERNAME > "
```
2024-07-19 11:50:08 +00:00
### Elastic Info
2021-01-28 13:40:17 +00:00
2024-11-09 13:57:59 +00:00
以下は、elasticsearchに関する**情報**を**取得**するために**GET**で**アクセス**できるいくつかのエンドポイントです:
2021-11-30 16:46:07 +00:00
| \_cat | /\_cluster | /\_security |
| ------------------------------- | ----------------------------- | ------------------------- |
| /\_cat/segments | /\_cluster/allocation/explain | /\_security/user |
| /\_cat/shards | /\_cluster/settings | /\_security/privilege |
| /\_cat/repositories | /\_cluster/health | /\_security/role\_mapping |
| /\_cat/recovery | /\_cluster/state | /\_security/role |
| /\_cat/plugins | /\_cluster/stats | /\_security/api\_key |
| /\_cat/pending\_tasks | /\_cluster/pending\_tasks | |
| /\_cat/nodes | /\_nodes | |
| /\_cat/tasks | /\_nodes/usage | |
| /\_cat/templates | /\_nodes/hot\_threads | |
| /\_cat/thread\_pool | /\_nodes/stats | |
| /\_cat/ml/trained\_models | /\_tasks | |
| /\_cat/transforms/\_all | /\_remote/info | |
| /\_cat/aliases | | |
| /\_cat/allocation | | |
| /\_cat/ml/anomaly\_detectors | | |
| /\_cat/count | | |
| /\_cat/ml/data\_frame/analytics | | |
| /\_cat/ml/datafeeds | | |
| /\_cat/fielddata | | |
| /\_cat/health | | |
| /\_cat/indices | | |
| /\_cat/master | | |
| /\_cat/nodeattrs | | |
| /\_cat/nodes | | |
2021-10-18 11:21:18 +00:00
2024-11-09 13:57:59 +00:00
これらのエンドポイントは、[**ドキュメントから取得されたものです**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html) さらに**詳細**を見つけることができます。\
2024-07-19 11:50:08 +00:00
また、`/_cat`にアクセスすると、レスポンスにはインスタンスがサポートする`/_cat/*`エンドポイントが含まれます。
2020-07-17 23:09:57 +00:00
2024-11-09 13:57:59 +00:00
`/_security/user` (認証が有効な場合)では、どのユーザーが`superuser`の役割を持っているかを確認できます。
2020-07-15 15:43:14 +00:00
2024-07-19 11:50:08 +00:00
### Indices
2020-07-15 15:43:14 +00:00
2024-07-19 11:50:08 +00:00
`http://10.10.10.115:9200/_cat/indices?v` にアクセスすることで、**すべてのインデックスを収集**できます。
2021-10-18 11:21:18 +00:00
```
2020-07-15 15:43:14 +00:00
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
green open .kibana 6tjAYZrgQ5CwwR0g6VOoRg 1 0 1 0 4kb 4kb
yellow open quotes ZG2D1IqkQNiNZmi2HRImnQ 5 1 253 0 262.7kb 262.7kb
yellow open bank eSVpNfCfREyYoVigNWcrMw 5 1 1000 0 483.2kb 483.2kb
```
2024-11-09 13:57:59 +00:00
**インデックス内に保存されているデータの種類に関する情報を取得するには**、次のようにアクセスできます: `http://host:9200/<index>` 。この場合の例は `http://10.10.10.115:9200/bank` です。
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
 . png > )
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
### インデックスのダンプ
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
インデックスの**すべての内容をダンプしたい場合**は、次のようにアクセスできます: `http://host:9200/<index>/_search?pretty=true` 。例えば `http://10.10.10.115:9200/bank/_search?pretty=true` のように。
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
 . png > )
2020-07-15 15:43:14 +00:00
2024-02-09 12:54:39 +00:00
_銀行インデックス内の各ドキュメント( )
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
この時点で、**"hits" 内に "total" というフィールドがあり、**このインデックス内に**1000のドキュメントが見つかった**ことを示していることに気付くかもしれませんが、実際に取得されたのは10件だけです。これは、**デフォルトで10ドキュメントの制限があるためです。**\
2024-07-19 11:50:08 +00:00
しかし、**このインデックスに1000のドキュメントが含まれていることがわかったので、**ダンプしたいエントリの数を**`size`**パラメータで指定して、**すべてをダンプすることができます**: `http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000` asd\
2024-11-09 13:57:59 +00:00
_注: より大きな数を指定すると、すべてのエントリがダンプされます。例えば `size=9999` と指定すると、エントリがもっとあった場合は奇妙になります( )
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
### すべてをダンプ
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
すべてをダンプするには、**以前と同じパスに行きますが、インデックスを指定せずに** `http://host:9200/_search?pretty=true` にアクセスします。例えば `http://10.10.10.115:9200/_search?pretty=true` のように。\
2024-07-19 11:50:08 +00:00
この場合、**デフォルトの10件の制限**が適用されることを忘れないでください。`size`パラメータを使用して、**より多くの結果をダンプする**ことができます。詳細については前のセクションをお読みください。
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
### 検索
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
情報を探している場合は、すべてのインデックスで**生の検索を行うことができます**: `http://host:9200/_search?pretty=true&q=<search_term>` 。例えば `http://10.10.10.115:9200/_search?pretty=true&q=Rockwell` のように。
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
 . png > )
2020-07-15 15:43:14 +00:00
2024-11-09 13:28:55 +00:00
特定のインデックスで**検索したい場合**は、**パス**にそれを**指定するだけです**: `http://host:9200/<index>/_search?pretty=true&q=<search_term>`
2020-07-15 15:43:14 +00:00
2024-11-09 13:57:59 +00:00
_コンテンツを検索するために使用されるqパラメータは、**正規表現をサポートしています**。_
2020-07-27 15:27:48 +00:00
2024-11-09 13:57:59 +00:00
また、[https://github.com/misalabs/horuz](https://github.com/misalabs/horuz)のようなものを使用して、elasticsearchサービスをファズすることもできます。
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
### 書き込み権限
2020-07-15 15:43:14 +00:00
2024-07-19 11:50:08 +00:00
新しいインデックス内に新しいドキュメントを作成しようとして、次のようなコマンドを実行することで、書き込み権限を確認できます:
2020-07-15 15:43:14 +00:00
```bash
curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
2023-07-07 23:42:27 +00:00
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'
2020-07-15 15:43:14 +00:00
```
2024-07-19 11:50:08 +00:00
そのコマンドは、属性 "_bookId_"、"_author_"、"_publisher_"、および "_name_" を持つ `books` タイプのドキュメントを持つ **新しいインデックス** `bookindex` を作成します。
2020-07-15 15:43:14 +00:00
2024-07-19 11:50:08 +00:00
**新しいインデックスがリストに表示される**ことに注意してください:
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
 . png > )
2020-07-15 15:43:14 +00:00
2024-07-19 11:50:08 +00:00
そして、**自動的に作成されたプロパティ**に注意してください:
2020-07-15 15:43:14 +00:00
2024-05-05 23:08:22 +00:00
 . png > )
2020-07-15 15:43:14 +00:00
2023-07-07 23:42:27 +00:00
## 自動列挙
2020-07-17 14:32:55 +00:00
2024-07-19 11:50:08 +00:00
いくつかのツールは、前に示したデータの一部を取得します:
2020-07-17 14:32:55 +00:00
```bash
msf > use auxiliary/scanner/elasticsearch/indices_enum
```
2020-10-05 10:44:06 +00:00
{% embed url="https://github.com/theMiddleBlue/nmap-elasticsearch-nse" %}
2022-05-01 13:25:53 +00:00
## Shodan
2020-10-05 10:44:06 +00:00
* `port:9200 elasticsearch`
2022-04-28 16:01:33 +00:00
2024-11-09 13:28:55 +00:00
< figure > < img src = "/.gitbook/assets/pentest-tools.svg" alt = "" > < figcaption > < / figcaption > < / figure >
2024-11-09 13:57:59 +00:00
**あなたのウェブアプリ、ネットワーク、クラウドに対するハッカーの視点を得る**
2024-11-09 13:28:55 +00:00
**実際のビジネスに影響を与える重大で悪用可能な脆弱性を見つけて報告します。** 20以上のカスタムツールを使用して攻撃面をマッピングし、特権を昇格させるセキュリティ問題を見つけ、自動化されたエクスプロイトを使用して重要な証拠を収集し、あなたの努力を説得力のある報告書に変えます。
{% embed url="https://pentest-tools.com/?utm_term=jul2024& utm_medium=link& utm_source=hacktricks& utm_campaign=spons" %}
2024-07-19 11:50:08 +00:00
{% hint style="success" %}
2024-11-09 13:28:55 +00:00
AWSハッキングを学び、実践する: < img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > [**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)< img src = "/.gitbook/assets/arte.png" alt = "" data-size = "line" > \
GCPハッキングを学び、実践する: < img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > [**HackTricks Training GCP Red Team Expert (GRTE)**< img src = "/.gitbook/assets/grte.png" alt = "" data-size = "line" > ](https://training.hacktricks.xyz/courses/grte)
2022-04-28 16:01:33 +00:00
2024-07-19 11:50:08 +00:00
< details >
2022-04-28 16:01:33 +00:00
2024-07-19 11:50:08 +00:00
< summary > HackTricksをサポートする< / summary >
2022-04-28 16:01:33 +00:00
2024-11-09 13:28:55 +00:00
* [**サブスクリプションプラン** ](https://github.com/sponsors/carlospolop )を確認してください!
2024-07-19 11:50:08 +00:00
* **💬 [**Discordグループ** ](https://discord.gg/hRep4RUj7f )または[**テレグラムグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@hacktricks\_live** ](https://twitter.com/hacktricks\_live )**をフォローしてください。**
2024-11-09 13:28:55 +00:00
* **[**HackTricks**](https://github.com/carlospolop/hacktricks)および[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のgithubリポジトリにPRを提出してハッキングトリックを共有してください。**
2022-04-28 16:01:33 +00:00
< / details >
2024-07-19 11:50:08 +00:00
{% endhint %}
