# 9200 - Pentesting Elasticsearch
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)! Drugi načini podrške HackTricks-u: * Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJATELJSTVO**](https://github.com/sponsors/carlospolop)! * Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com) * Otkrijte [**Porodicu PEASS**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family) * **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.
## Osnovne informacije Elasticsearch je **distribuirani**, **otvoreni izvor** pretraživač i analitički sistem za **sve vrste podataka**. Poznat je po **brzini**, **razmerljivosti** i **jednostavnim REST API-ima**. Izgrađen na Apache Lucene-u, prvi put je objavljen 2010. godine od strane Elasticsearch N.V. (sada poznat kao Elastic). Elasticsearch je osnovna komponenta Elastic Stack-a, kolekcije alata otvorenog koda za unos podataka, obogaćivanje, skladištenje, analizu i vizualizaciju podataka. Ova kolekcija, često nazvana ELK Stack, takođe uključuje Logstash i Kibanu, a sada ima i lagane agente za slanje podataka nazvane Beats. ### Šta je Elasticsearch indeks? Elasticsearch **indeks** je kolekcija **povezanih dokumenata** sačuvanih kao **JSON**. Svaki dokument se sastoji od **ključeva** i njihovih odgovarajućih **vrednosti** (stringovi, brojevi, boolean vrednosti, datumi, nizovi, geolokacije, itd.). Elasticsearch koristi efikasnu strukturu podataka nazvanu **inverzni indeks** kako bi omogućio brze pretrage celokupnog teksta. Ovaj indeks navodi svaku jedinstvenu reč u dokumentima i identifikuje dokumente u kojima se svaka reč pojavljuje. Tokom indeksiranja, Elasticsearch čuva dokumente i konstruiše inverzni indeks, omogućavajući skoro realno vreme pretrage. **Index API** se koristi za dodavanje ili ažuriranje JSON dokumenata unutar određenog indeksa. **Podrazumevani port**: 9200/tcp ## Ručno nabrajanje ### Baner Protokol koji se koristi za pristup Elasticsearch-u je **HTTP**. Kada pristupite putem HTTP-a, pronaći ćete neke zanimljive informacije: `http://10.10.10.115:9200/` ![](<../.gitbook/assets/image (294).png>) Ako ne vidite tu odgovor pristupajući `/`, pogledajte sledeći odeljak. ### Autentikacija **Po podrazumevanim postavkama Elasticsearch nema omogućenu autentikaciju**, tako da po podrazumevanim postavkama možete pristupiti svemu unutar baze podataka bez korišćenja bilo kakvih akreditiva. Možete proveriti da li je autentikacija onemogućena zahtevom ka: ```bash curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user" {"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500} ``` **Međutim**, ako pošaljete zahtev ka `/` i dobijete odgovor kao u sledećem primeru: ```bash {"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401} ``` To znači da je konfigurisana autentikacija i **potrebne su važeće akreditacije** da biste dobili bilo kakve informacije iz Elasticserach-a. Zatim možete [**pokušati da izvršite brute force napad**](../generic-methodologies-and-resources/brute-force.md#elasticsearch) (koristi HTTP osnovnu autentikaciju, tako da se može koristiti bilo šta što BF HTTP osnovnu autentikaciju).\ Ovde imate **listu podrazumevanih korisničkih imena**: _**elastic** (superkorisnik), remote\_monitoring\_user, beats\_system, logstash\_system, kibana, kibana\_system, apm\_system,_ \_anonymous\_.\_ Starije verzije Elasticsearch-a imaju podrazumevanu lozinku **changeme** za ovog korisnika. ``` curl -X GET http://user:password@IP:9200/ ``` ### Osnovna enumeracija korisnika ```bash #List all roles on the system: curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role" #List all users on the system: curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user" #Get more information about the rights of an user: curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/" ``` ### Elastic Info Evo nekih endpointa do kojih možete **pristupiti putem GET zahteva** kako biste **dobili** informacije o elasticsearch-u: | \_cat | /\_cluster | /\_security | | ------------------------------- | ----------------------------- | ------------------------- | | /\_cat/segments | /\_cluster/allocation/explain | /\_security/user | | /\_cat/shards | /\_cluster/settings | /\_security/privilege | | /\_cat/repositories | /\_cluster/health | /\_security/role\_mapping | | /\_cat/recovery | /\_cluster/state | /\_security/role | | /\_cat/plugins | /\_cluster/stats | /\_security/api\_key | | /\_cat/pending\_tasks | /\_cluster/pending\_tasks | | | /\_cat/nodes | /\_nodes | | | /\_cat/tasks | /\_nodes/usage | | | /\_cat/templates | /\_nodes/hot\_threads | | | /\_cat/thread\_pool | /\_nodes/stats | | | /\_cat/ml/trained\_models | /\_tasks | | | /\_cat/transforms/\_all | /\_remote/info | | | /\_cat/aliases | | | | /\_cat/allocation | | | | /\_cat/ml/anomaly\_detectors | | | | /\_cat/count | | | | /\_cat/ml/data\_frame/analytics | | | | /\_cat/ml/datafeeds | | | | /\_cat/fielddata | | | | /\_cat/health | | | | /\_cat/indices | | | | /\_cat/master | | | | /\_cat/nodeattrs | | | | /\_cat/nodes | | | Ovi endpointi su [**preuzeti iz dokumentacije**](https://www.elastic.co/guide/en/elasticsearch/reference/current/rest-apis.html) gde možete **pronaći više**.\ Takođe, ako pristupite `/_cat`, odgovor će sadržati `/_cat/*` endpointe podržane od strane instance. U `/_security/user` (ako je autentifikacija omogućena) možete videti koji korisnik ima ulogu `superuser`. ### Indeksi Možete **prikupiti sve indekse** pristupanjem `http://10.10.10.115:9200/_cat/indices?v` ``` health status index uuid pri rep docs.count docs.deleted store.size pri.store.size green open .kibana 6tjAYZrgQ5CwwR0g6VOoRg 1 0 1 0 4kb 4kb yellow open quotes ZG2D1IqkQNiNZmi2HRImnQ 5 1 253 0 262.7kb 262.7kb yellow open bank eSVpNfCfREyYoVigNWcrMw 5 1 1000 0 483.2kb 483.2kb ``` Za dobijanje **informacija o vrsti podataka koji su sačuvani unutar indeksa** možete pristupiti: `http://host:9200/` na primer u ovom slučaju `http://10.10.10.115:9200/bank` ![](<../.gitbook/assets/image (342).png>) ### Dump indeksa Ako želite **izlistati sve sadržaje** indeksa možete pristupiti: `http://host:9200//_search?pretty=true` kao što je `http://10.10.10.115:9200/bank/_search?pretty=true` ![](<../.gitbook/assets/image (914).png>) _Uzmite trenutak da uporedite sadržaj svakog dokumenta (unosa) unutar bank indeksa i polja ovog indeksa koje smo videli u prethodnom odeljku._ Dakle, u ovom trenutku možete primetiti da **postoji polje nazvano "total" unutar "hits"** koje ukazuje da je **pronađeno 1000 dokumenata** unutar ovog indeksa, ali je povučeno samo 10. To je zato što je **podrazumevano postavljena granica od 10 dokumenata**.\ Međutim, sada kada znate da **ovaj indeks sadrži 1000 dokumenata**, možete **izlistati sve njih** navodeći broj unosa koje želite da izlistate u **`size`** parametru: `http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000` _Napomena: Ako navedete veći broj, svi unosi će biti izlistani bez obzira, na primer možete navesti `size=9999` i biće čudno ako postoji više unosa (ali trebalo bi da proverite)._ ### Dump svih Da biste izlistali sve, jednostavno idite na **isto mesto kao pre ali bez navođenja bilo kog indeksa** `http://host:9200/_search?pretty=true` kao `http://10.10.10.115:9200/_search?pretty=true`\ Zapamtite da će u ovom slučaju biti primenjena **podrazumevana granica od 10** rezultata. Možete koristiti `size` parametar da biste izlistali **veći broj rezultata**. Pročitajte prethodni odeljak za više informacija. ### Pretraga Ako tražite neke informacije, možete izvršiti **sirovu pretragu svih indeksa** odlaskom na `http://host:9200/_search?pretty=true&q=` kao u `http://10.10.10.115:9200/_search?pretty=true&q=Rockwell` ![](<../.gitbook/assets/image (335).png>) Ako želite samo **pretražiti indeks**, možete to jednostavno **navesti** u **putanji**: `http://host:9200//_search?pretty=true&q=` _Napomena da q parametar koji se koristi za pretragu sadržaja **podržava regularne izraze**_ Takođe možete koristiti nešto poput [https://github.com/misalabs/horuz](https://github.com/misalabs/horuz) za testiranje elasticsearch servisa. ### Dozvole za pisanje Možete proveriti svoje dozvole za pisanje pokušavajući da kreirate novi dokument unutar novog indeksa pokretanjem nečega sličnog sledećem: ```bash curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d' { "bookId" : "A00-3", "author" : "Sankaran", "publisher" : "Mcgrahill", "name" : "how to get a job" }' ``` Taj cmd će kreirati **novi indeks** nazvan `bookindex` sa dokumentom tipa `books` koji ima atribute "_bookId_", "_author_", "_publisher_" i "_name_" Primetite kako se **novi indeks sada pojavljuje na listi**: ![](<../.gitbook/assets/image (130).png>) I primetite **automatski kreirane osobine**: ![](<../.gitbook/assets/image (434).png>) ## Automatsko Numerisanje Neki alati će dobiti neke od prethodno prikazanih podataka: ```bash msf > use auxiliary/scanner/elasticsearch/indices_enum ``` {% embed url="https://github.com/theMiddleBlue/nmap-elasticsearch-nse" %} ## Shodan * `port:9200 elasticsearch`
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)! Drugi načini podrške HackTricks-u: * Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA ČLANSTVO**](https://github.com/sponsors/carlospolop)! * Nabavite [**zvanični PEASS & HackTricks swag**](https://peass.creator-spring.com) * Otkrijte [**The PEASS Family**](https://opensea.io/collection/the-peass-family), našu kolekciju ekskluzivnih [**NFT-ova**](https://opensea.io/collection/the-peass-family) * **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Podelite svoje hakovanje trikove slanjem PR-ova na** [**HackTricks**](https://github.com/carlospolop/hacktricks) i [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repozitorijume.