13 KiB
11211 - Pentesting Memcache
{% hint style="success" %}
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
Protokollinformationen
Von wikipedia:
Memcached (Aussprache: mem-cashed, mem-cash-dee) ist ein allgemeines verteiltes Speichercaching System. Es wird häufig verwendet, um dynamische, datenbankgestützte Websites zu beschleunigen, indem Daten und Objekte im RAM zwischengespeichert werden, um die Anzahl der Lesevorgänge einer externen Datenquelle (wie einer Datenbank oder API) zu reduzieren.
Obwohl Memcached SASL unterstützt, sind die meisten Instanzen ohne Authentifizierung exponiert.
Standardport: 11211
PORT STATE SERVICE
11211/tcp open unknown
Enumeration
Manual
Um alle Informationen, die in einer Memcache-Instanz gespeichert sind, zu exfiltrieren, müssen Sie:
- Slabs mit aktiven Elementen finden
- Die Schlüsselnamen der zuvor erkannten Slabs abrufen
- Die gespeicherten Daten durch Abrufen der Schlüsselnamen exfiltrieren
Denken Sie daran, dass dieser Dienst nur ein Cache ist, sodass Daten erscheinen und verschwinden können.
echo "version" | nc -vn -w 1 <IP> 11211 #Get version
echo "stats" | nc -vn -w 1 <IP> 11211 #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211 #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211 #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211 #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211 #Get saved info
#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'
Manual2
sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)
Automatisch
nmap -n -sV --script memcached-info -p 11211 <IP> #Just gather info
msf > use auxiliary/gather/memcached_extractor #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible
Dumping Memcache Keys
Im Bereich von memcache, einem Protokoll, das bei der Organisation von Daten durch Slabs hilft, gibt es spezifische Befehle zur Inspektion der gespeicherten Daten, jedoch mit bemerkenswerten Einschränkungen:
- Schlüssel können nur nach Slab-Klasse ausgegeben werden, wobei Schlüssel ähnlicher Inhaltsgröße gruppiert werden.
- Es gibt eine Begrenzung von einer Seite pro Slab-Klasse, was 1 MB Daten entspricht.
- Diese Funktion ist inoffiziell und kann jederzeit eingestellt werden, wie in Community-Foren besprochen.
Die Einschränkung, nur 1 MB aus potenziell Gigabytes an Daten ausgeben zu können, ist besonders signifikant. Diese Funktionalität kann jedoch dennoch Einblicke in die Nutzungsmuster der Schlüssel bieten, abhängig von den spezifischen Bedürfnissen. Für diejenigen, die weniger an den Mechaniken interessiert sind, zeigt ein Besuch im Tools-Bereich Hilfsmittel für umfassende Dumps. Alternativ wird der Prozess der Verwendung von telnet für die direkte Interaktion mit memcached-Setups im Folgenden beschrieben.
How it Works
Die Speicherorganisation von Memcache ist entscheidend. Das Starten von memcache mit der Option "-vv" zeigt die Slab-Klassen, die es generiert, wie unten dargestellt:
$ memcached -vv
slab class 1: chunk size 96 perslab 10922
[...]
Um alle derzeit vorhandenen Slabs anzuzeigen, wird der folgende Befehl verwendet:
stats slabs
Hinzufügen eines einzelnen Schlüssels zu memcached 1.4.13 veranschaulicht, wie Slab-Klassen befüllt und verwaltet werden. Zum Beispiel:
set mykey 0 60 1
1
STORED
Die Ausführung des Befehls "stats slabs" nach der Schlüsseladdition liefert detaillierte Statistiken über die Slab-Nutzung:
stats slabs
[...]
Dieser Output zeigt die aktiven Slab-Typen, genutzten Chunks und Betriebsstatistiken und bietet Einblicke in die Effizienz von Lese- und Schreiboperationen.
Ein weiterer nützlicher Befehl, "stats items", liefert Daten zu Eviktionen, Speicherbeschränkungen und Lebenszyklen von Elementen:
stats items
[...]
Diese Statistiken ermöglichen fundierte Annahmen über das Caching-Verhalten von Anwendungen, einschließlich der Cache-Effizienz für verschiedene Inhaltsgrößen, der Speicherzuweisung und der Kapazität zum Caching großer Objekte.
Dumping Keys
Für Versionen vor 1.4.31 werden die Schlüssel nach Slab-Klasse mit folgendem Befehl ausgegeben:
stats cachedump <slab class> <number of items to dump>
Zum Beispiel, um einen Schlüssel in Klasse #1 zu dumpen:
stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END
Diese Methode iteriert über Slab-Klassen, extrahiert und optional Schlüsselwerte.
DUMPING MEMCACHE KEYS (VER 1.4.31+)
Mit der memcache-Version 1.4.31 und höher wird eine neue, sicherere Methode zum Dumpen von Schlüsseln in einer Produktionsumgebung eingeführt, die den nicht-blockierenden Modus nutzt, wie in den Release-Notizen beschrieben. Dieser Ansatz erzeugt umfangreiche Ausgaben, daher wird empfohlen, den Befehl 'nc' zur Effizienz zu verwenden. Beispiele sind:
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
DUMPING TOOLS
Table from here.
| Programmiersprachen | Werkzeuge | Funktionalität | ||
|---|---|---|---|---|
| PHP | einfaches Skript | Gibt Schlüsselnamen aus. | ||
| Perl | einfaches Skript | Gibt Schlüssel und Werte aus | ||
| Ruby | einfaches Skript | Gibt Schlüsselnamen aus. | ||
| Perl | memdump | Tool im CPAN-Modul | Memcached-libmemcached | ached/) |
| PHP | memcache.php | Memcache Überwachungs-GUI, die auch das Dumpen von Schlüsseln ermöglicht | ||
| libmemcached | peep | Friert Ihren Memcached-Prozess ein!!! Seien Sie vorsichtig, wenn Sie dies in der Produktion verwenden. Dennoch können Sie damit die 1MB-Beschränkung umgehen und wirklich alle Schlüssel dumpen. |
Fehlerbehebung
1MB Datenlimit
Beachten Sie, dass vor memcached 1.4 Objekte, die größer als 1MB sind, aufgrund der standardmäßigen maximalen Slab-Größe nicht gespeichert werden können.
Setzen Sie niemals ein Timeout > 30 Tage!
Wenn Sie versuchen, einen Schlüssel mit einem Timeout größer als das erlaubte Maximum zu „setzen“ oder „hinzuzufügen“, erhalten Sie möglicherweise nicht das, was Sie erwarten, da memcached den Wert dann als Unix-Zeitstempel behandelt. Wenn der Zeitstempel auch in der Vergangenheit liegt, wird überhaupt nichts getan. Ihr Befehl schlägt stillschweigend fehl.
Wenn Sie also die maximale Lebensdauer verwenden möchten, geben Sie 2592000 an. Beispiel:
set my_key 0 2592000 1
1
Verschwundene Schlüssel bei Überlauf
Trotz der Dokumentation, die etwas über das Überlaufen eines Wertes mit 64 Bit sagt, führt die Verwendung von „incr“ dazu, dass der Wert verschwindet. Er muss erneut mit „add“/„set“ erstellt werden.
Replikation
memcached selbst unterstützt keine Replikation. Wenn Sie es wirklich benötigen, müssen Sie Drittanbieter-Lösungen verwenden:
- repcached: Multi-Master asynchrone Replikation (memcached 1.2 Patch-Set)
- Couchbase memcached-Schnittstelle: Verwenden Sie CouchBase als memcached Drop-in
- yrmcds: memcached-kompatibler Master-Slave Key-Value-Speicher
- twemproxy (auch bekannt als nutcracker): Proxy mit memcached-Unterstützung
Befehle Cheat-Sheet
{% content-ref url="memcache-commands.md" %} memcache-commands.md {% endcontent-ref %}
Shodan
port:11211 "STAT pid""STAT pid"
Referenzen
{% hint style="success" %}
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.