15 KiB
9200 - Elasticsearchのペンテスト
htARTE(HackTricks AWS Red Team Expert) からAWSハッキングをゼロからヒーローまで学ぶ!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- **💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする。
- **ハッキングトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。
基本情報
Elasticsearchは、あらゆる種類のデータに対する分散型、オープンソースの検索および分析エンジンです。速度、拡張性、およびシンプルなREST APIで知られています。Apache Lucene上に構築され、2010年にElasticsearch N.V.(現在はElasticとして知られています)によって最初にリリースされました。ElasticsearchはElastic Stackの中核コンポーネントであり、データの取り込み、拡張、保存、分析、および可視化のためのオープンソースツールのコレクションです。このスタックは一般的にELKスタックと呼ばれ、LogstashとKibanaも含まれており、Beatsと呼ばれる軽量データ輸送エージェントも含まれています。
Elasticsearchインデックスとは?
Elasticsearchのインデックスは、JSONとして格納された関連ドキュメントのコレクションです。各ドキュメントはキーとそれに対応する値(文字列、数値、ブール値、日付、配列、地理位置など)で構成されています。
Elasticsearchは、高速な全文検索を可能にする効率的なデータ構造である転置インデックスを使用しています。このインデックスは、ドキュメント内のすべての一意の単語をリストし、各単語が現れるドキュメントを特定します。
インデックス作成プロセス中、Elasticsearchはドキュメントを保存し、転置インデックスを構築し、ほぼリアルタイムの検索を可能にします。インデックスAPIは、特定のインデックス内のJSONドキュメントを追加または更新するために使用されます。
デフォルトポート: 9200/tcp
手動列挙
バナー
Elasticsearchにアクセスするために使用されるプロトコルはHTTPです。HTTP経由でアクセスすると、いくつかの興味深い情報が表示されます: http://10.10.10.115:9200/
/
にアクセスしてもその応答が表示されない場合は、次のセクションを参照してください。
認証
デフォルトではElasticsearchには認証が有効になっていませんので、デフォルトでは資格情報を使用せずにデータベース内のすべてにアクセスできます。
認証が無効になっていることを確認するには、以下のリクエストを使用してください:
curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}
しかしながら、/
にリクエストを送信して、以下のようなレスポンスを受け取った場合:
{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}
それは認証が設定されており、有効な資格情報が必要です。Elasticsearchから情報を取得するには、ブルートフォース攻撃を試みる必要があります(HTTPベーシック認証を使用しているため、HTTPベーシック認証をBFできるものは何でも使用できます)。
ここには、デフォルトのユーザー名のリストがあります: elastic (スーパーユーザー)、remote_monitoring_user、beats_system、logstash_system、kibana、kibana_system、apm_system、 _anonymous_._ Elasticsearchの古いバージョンでは、このユーザーのデフォルトパスワードは changeme です。
curl -X GET http://user:password@IP:9200/
基本的なユーザー列挙
#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"
#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"
#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"
Elastic情報
以下は、Elasticsearchに関する情報を取得するためにGET経由でアクセスできるいくつかのエンドポイントです:
_cat | /_cluster | /_security |
---|---|---|
/_cat/segments | /_cluster/allocation/explain | /_security/user |
/_cat/shards | /_cluster/settings | /_security/privilege |
/_cat/repositories | /_cluster/health | /_security/role_mapping |
/_cat/recovery | /_cluster/state | /_security/role |
/_cat/plugins | /_cluster/stats | /_security/api_key |
/_cat/pending_tasks | /_cluster/pending_tasks | |
/_cat/nodes | /_nodes | |
/_cat/tasks | /_nodes/usage | |
/_cat/templates | /_nodes/hot_threads | |
/_cat/thread_pool | /_nodes/stats | |
/_cat/ml/trained_models | /_tasks | |
/_cat/transforms/_all | /_remote/info | |
/_cat/aliases | ||
/_cat/allocation | ||
/_cat/ml/anomaly_detectors | ||
/_cat/count | ||
/_cat/ml/data_frame/analytics | ||
/_cat/ml/datafeeds | ||
/_cat/fielddata | ||
/_cat/health | ||
/_cat/indices | ||
/_cat/master | ||
/_cat/nodeattrs | ||
/_cat/nodes |
これらのエンドポイントは、ドキュメントから取得され、そこでさらに多くの情報を見つけることができます。
また、/_cat
にアクセスすると、インスタンスでサポートされている/_cat/*
エンドポイントが含まれたレスポンスが返されます。
/_security/user
(認証が有効な場合)では、どのユーザーがsuperuser
の役割を持っているかを確認できます。
インデックス
http://10.10.10.115:9200/_cat/indices?v
にアクセスすることで、すべてのインデックスを収集することができます。
health status index uuid pri rep docs.count docs.deleted store.size pri.store.size
green open .kibana 6tjAYZrgQ5CwwR0g6VOoRg 1 0 1 0 4kb 4kb
yellow open quotes ZG2D1IqkQNiNZmi2HRImnQ 5 1 253 0 262.7kb 262.7kb
yellow open bank eSVpNfCfREyYoVigNWcrMw 5 1 1000 0 483.2kb 483.2kb
インデックス内に保存されているデータの種類に関する情報を取得するには、次のようにアクセスできます:http://host:9200/<index>
例えば、この場合は http://10.10.10.115:9200/bank
インデックスのダンプ
インデックスのすべての内容をダンプしたい場合は、次のようにアクセスできます:http://host:9200/<index>/_search?pretty=true
例えば http://10.10.10.115:9200/bank/_search?pretty=true
銀行インデックス内の各ドキュメント(エントリ)の内容と、前のセクションで見たこのインデックスのフィールドを比較する時間を取ってください。
したがって、この時点で、"hits"内にある"total"というフィールドがあることに気付くかもしれません。これは、このインデックス内で1000件のドキュメントが見つかったことを示していますが、そのうちの10件しか取得されませんでした。これはデフォルトで10件の制限があるためです。
しかし、今、このインデックスに1000件のドキュメントが含まれていることを知っているので、**size
**パラメータでダンプするエントリ数を指定して、すべてをダンプできます:http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000
注意:より大きな数値を指定すると、すべてのエントリが無視され、たとえばsize=9999
と指定しても、それ以上のエントリがある場合は奇妙になります(確認する必要があります)。
すべてをダンプ
すべてをダンプするには、以前と同じパスに移動して、インデックスを指定しないで行けますhttp://host:9200/_search?pretty=true
例えば http://10.10.10.115:9200/_search?pretty=true
この場合は、デフォルトの10件の制限が適用されます。結果の数を増やすにはsize
パラメータを使用できます。詳細については前のセクションを参照してください。
検索
情報を探している場合は、http://host:9200/_search?pretty=true&q=<search_term>
に移動して、すべてのインデックスで生の検索を行うことができます。例えば http://10.10.10.115:9200/_search?pretty=true&q=Rockwell
インデックス内で検索したい場合は、パスでそれを指定するだけです:http://host:9200/<index>/_search?pretty=true&q=<search_term>
検索コンテンツに使用されるqパラメータは、正規表現をサポートしていることに注意してください。
また、https://github.com/misalabs/horuzのようなものを使用して、elasticsearchサービスをファズすることもできます。
書き込み権限
新しいインデックス内に新しいドキュメントを作成しようとして、書き込み権限を確認することができます。
curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'
そのコマンドは、タイプがbooks
で、属性が"bookId"、"author"、"publisher"、"name"であるドキュメントを持つ新しいインデックスbookindex
を作成します。
新しいインデックスがリストに現れる方法に注目してください:
そして、自動的に作成されたプロパティに注目してください:
自動列挙
一部のツールは、以前に表示されたデータの一部を取得します。
msf > use auxiliary/scanner/elasticsearch/indices_enum
{% embed url="https://github.com/theMiddleBlue/nmap-elasticsearch-nse" %}
Shodan
port:9200 elasticsearch
ゼロからヒーローまでのAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksグッズを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- 💬 Discordグループまたはtelegramグループに参加するか、Twitter 🐦 @carlospolopmでフォロー**する。
- HackTricksおよびHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。