13 KiB
11211 - Pentesting Memcache
{% hint style="success" %}
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Protocol Inligting
Van wikipedia:
Memcached (uitspraak: mem-kash-de, mem-kash-dee) is 'n algemene verspreide geheue-kas stelsel. Dit word dikwels gebruik om dinamiese databasis-gedrewe webwerwe te versnel deur data en voorwerpe in RAM te kas om die aantal kere te verminder wat 'n eksterne databron (soos 'n databasis of API) gelees moet word.
Alhoewel Memcached SASL ondersteun, is die meeste instansies blootgestel sonder outentisering.
Standaard poort: 11211
PORT STATE SERVICE
11211/tcp open unknown
Enumeration
Manual
Om al die inligting wat in 'n memcache-instantie gestoor is, te exfiltreer, moet jy:
- slabs met aktiewe items vind
- Die sleutelname van die slabs wat voorheen opgespoor is, kry
- Die gestoor data exfiltreer deur die sleutelname te kry
Onthou dat hierdie diens net 'n cache is, so data mag verskyn en verdwyn.
echo "version" | nc -vn -w 1 <IP> 11211 #Get version
echo "stats" | nc -vn -w 1 <IP> 11211 #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211 #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211 #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211 #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211 #Get saved info
#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'
Handboek2
sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)
Outomaties
nmap -n -sV --script memcached-info -p 11211 <IP> #Just gather info
msf > use auxiliary/gather/memcached_extractor #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible
Dumping Memcache Keys
In die ryk van memcache, 'n protokol wat help om data deur slabs te organiseer, bestaan daar spesifieke opdragte om die gestoor data te inspekteer, alhoewel met noemenswaardige beperkings:
- Sleutels kan slegs volgens slab klas gedump word, wat sleutels van soortgelyke inhoudsgrootte groepeer.
- 'n Beperking bestaan van een bladsy per slab klas, wat gelyk is aan 1MB data.
- Hierdie funksie is nie amptelik nie en kan enige tyd gestaak word, soos bespreek in gemeenskapsforums.
Die beperking om slegs 1MB uit potensieel gigabytes data te kan dump, is veral betekenisvol. Tog kan hierdie funksionaliteit steeds insigte bied in sleutelgebruikspatrone, afhangende van spesifieke behoeftes. Vir diegene wat minder geïnteresseerd is in die meganika, 'n besoek aan die tools section onthul nutsmiddels vir omvattende dumping. Alternatiewelik, die proses om telnet te gebruik vir direkte interaksie met memcached-opstellings word hieronder uiteengesit.
How it Works
Memcache se geheue-organisasie is deurslaggewend. Om memcache met die "-vv" opsie te begin, onthul die slab klasse wat dit genereer, soos hieronder getoon:
$ memcached -vv
slab class 1: chunk size 96 perslab 10922
[...]
Om al die huidige bestaande slabs te vertoon, word die volgende opdrag gebruik:
stats slabs
Voeg 'n enkele sleutel by memcached 1.4.13 illustreer hoe slab klasse bevolk en bestuur word. Byvoorbeeld:
set mykey 0 60 1
1
STORED
Voer die "stats slabs" opdrag uit na sleutel toevoeging om gedetailleerde statistieke oor slab benutting te verkry:
stats slabs
[...]
Hierdie uitvoer onthul die aktiewe slab tipe, gebruikte stukke, en operasionele statistieke, wat insigte bied in die doeltreffendheid van lees- en skryfoperasies.
'n Ander nuttige opdrag, "stats items", bied data oor ontruimings, geheuebeperkings, en itemlewe siklusse:
stats items
[...]
Hierdie statistieke stel in staat om ingeligte aannames te maak oor toepassingskasgedrag, insluitend kasdoeltreffendheid vir verskillende inhoudgroottes, geheue-toewysing, en kapasiteit om groot voorwerpe te kas.
Dumping Sleutels
Vir weergawes voor 1.4.31, sleutels word gedump deur slab klas met:
stats cachedump <slab class> <number of items to dump>
Byvoorbeeld, om 'n sleutel in klas #1 te dump:
stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END
This method iterates over slab classes, extracting and optionally dumping key values.
DUMPING MEMCACHE KEYS (VER 1.4.31+)
Met memcache weergawe 1.4.31 en hoër, word 'n nuwe, veiliger metode vir die dump van sleutels in 'n produksie-omgewing bekendgestel, wat nie-blokkerende modus gebruik soos in die release notes beskryf. Hierdie benadering genereer uitgebreide uitvoer, daarom die aanbeveling om die 'nc' opdrag vir doeltreffendheid te gebruik. Voorbeelde sluit in:
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
DUMPING TOOLS
Table from here.
Programming Languages | Tools | Functionality | ||
---|---|---|---|---|
PHP | simple script | Druk sleutelname. | ||
Perl | simple script | Druk sleutels en waardes | ||
Ruby | simple script | Druk sleutelname. | ||
Perl | memdump | Gereedskap in CPAN-module | Memcached-libmemcached | ached/) |
PHP | memcache.php | Memcache Monitering GUI wat ook toelaat om sleutels te dump | ||
libmemcached | peep | Bevries jou memcached proses!!! Wees versigtig wanneer jy dit in produksie gebruik. Deur dit steeds te gebruik kan jy die 1MB beperking omseil en regtig alle sleutels dump. |
Troubleshooting
1MB Data Limit
Let daarop dat voor memcached 1.4 jy nie voorwerpe groter as 1MB kan stoor nie weens die standaard maksimum slab grootte.
Never Set a Timeout > 30 Days!
As jy probeer om 'n sleutel met 'n timeout groter as die toegelate maksimum te “stel” of “toe te voeg”, mag jy nie kry wat jy verwag nie, omdat memcached dan die waarde as 'n Unix-timestamp behandel. Ook, as die timestamp in die verlede is, sal dit glad nie iets doen nie. Jou opdrag sal stilweg misluk.
So as jy die maksimum leeftyd wil gebruik, spesifiseer 2592000. Voorbeeld:
set my_key 0 2592000 1
1
Verdwynende Sleutels by Oorloop
Ten spyte van die dokumentasie wat iets sê oor die omhulsel van 64bit wat 'n waarde oorloop, veroorsaak die gebruik van “incr” dat die waarde verdwyn. Dit moet weer geskep word met “add”/”set”.
Replikaasje
memcached self ondersteun nie replikaasie nie. As jy dit regtig nodig het, moet jy 3departy-oplossings gebruik:
- repcached: Multi-master asynchrone replikaasie (memcached 1.2 patch stel)
- Couchbase memcached interface: Gebruik CouchBase as memcached drop-in
- yrmcds: memcached-compatibele Meester-Slaaf sleutelwaarde winkel
- twemproxy (ook bekend as nutcracker): proxy met memcached ondersteuning
Opdrag Cheat-Sheet
{% content-ref url="memcache-commands.md" %} memcache-commands.md {% endcontent-ref %}
Shodan
port:11211 "STAT pid"
"STAT pid"
Verwysings
{% hint style="success" %}
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.