14 KiB
8086 - पेंटेस्टिंग इनफ्लक्सडीबी
Trickest का उपयोग करके आसानी से बिल्ड करें और ऑटोमेटिक वर्कफ़्लो बनाएं जो दुनिया के सबसे उन्नत सामुदायिक उपकरणों द्वारा संचालित होते हैं।
आज ही पहुंच प्राप्त करें:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप चाहते हैं कि आपकी कंपनी को HackTricks में विज्ञापित किया जाए? या क्या आपको PEASS के नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करने की आवश्यकता है? सदस्यता योजनाएं की जांच करें!
- The PEASS Family की खोज करें, हमारा विशेष NFT संग्रह
- आधिकारिक PEASS & HackTricks swag प्राप्त करें
- 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या मुझे Twitter 🐦@carlospolopm** का पालन करें**.
- अपने हैकिंग ट्रिक्स को hacktricks repo और hacktricks-cloud repo में PR जमा करके अपने हैकिंग ट्रिक्स साझा करें।
मूलभूत जानकारी
InfluxDB एक ओपन-सोर्स टाइम सीरीज डेटाबेस (TSDB) है जिसे InfluxData कंपनी ने विकसित किया है।
टाइम सीरीज डेटाबेस (TSDB) एक सॉफ़्टवेयर सिस्टम है जो समय सीरीज को संबंधित समय और मान के जोड़ों के माध्यम से संग्रहीत और सेवा प्रदान करने के लिए अनुकूलित होता है।
समय सीरीज डेटासेट अन्य डेटासेटों की तुलना में अपेक्षाकृत बड़े और समान आकार के होते हैं - आमतौर पर एक टाइमस्टैम्प और संबंधित डेटा से मिलकर बने होते हैं। समय सीरीज डेटासेट में डेटा प्रविष्टियों के बीच कम संबंध होते हैं और इन्ट्रीज को अनिश्चित समय तक संग्रहीत करने की आवश्यकता नहीं होती है। समय सीरीज डेटासेट की अद्वितीय गुणधर्मों के कारण, समय सीरीज डेटाबेस सामान्य उद्देश्य डेटाबेसों की तुलना में संग्रह स्थान और प्रदर्शन में महत्वपूर्ण सुधार प्रदान कर सकते हैं। उदाहरण के लिए, समय सीरीज डेटा की एकरूपता के कारण, विशेषीकृत संपीड़न एल्गोरिदम सामान्य संपीड़न एल्गोरिदमों की तुलना में सुधार प्रदान कर सकते हैं जो कम एकरूपता वाले डेटा पर काम करने के लिए डिज़ाइन किए गए होते हैं। समय सीरीज डेटाबेस को नियमित रूप से पुराने डेटा को हटाने के लिए भी कॉन्फ़िगर किया जा सकता है, जो सामान्य डेटाबेसों के विपरीत होता है जो डेटा को अनिश्चित समय तक संग्रहित करने के लिए डिज़ाइन किए गए होते हैं। विशेष डेटाबेस सूचकांक भी क्वेरी प्रदर्शन में बढ़ोतरी प्रदान कर सकते हैं। (यहां से लिया गया है: यहां)।
डिफ़ॉल्ट पोर्ट: 8086
PORT STATE SERVICE VERSION
8086/tcp open http InfluxDB http admin 1.7.5
जांच
एक पेंटेस्टर के दृष्टिकोण से यह एक और डेटाबेस है जो संवेदनशील जानकारी संग्रहीत कर सकती है, इसलिए सभी जानकारी को डंप करने के लिए जानना दिलचस्प होता है।
प्रमाणीकरण
InfluxDB में प्रमाणीकरण की आवश्यकता हो सकती है या नहीं हो सकती है।
# Try unauthenticated
influx -host 'host name' -port 'port #'
> use _internal
यदि आपको इस तरह की त्रुटि मिलती है: ERR: प्रमाणीकरण क्रेडेंशियल्स को पार्स करने में असमर्थ तो इसका मतलब है कि इसे कुछ प्रमाणीकरण क्रेडेंशियल्स की आशा है।
influx –username influx –password influx_pass
इंफ्लक्सडीबी में एक सुरक्षा कमजोरी थी जिससे प्रमाणीकरण को अनदेखा किया जा सकता था: CVE-2019-20933
मैनुअल गणना
इस उदाहरण की जानकारी यहां से ली गई थी।
डेटाबेस दिखाएं
पाए गए डेटाबेस telegraf और _internal हैं (आप इसे हर जगह पाएंगे)।
> show databases
name: databases
name
----
telegraf
_internal
टेबल/माप दिखाएं
जैसा कि InfluxDB दस्तावेज़ीकरण में बताया गया है, SQL माप को SQL टेबल के रूप में समझा जा सकता है। ऊपर दिए गए माप नामों की तरह, प्रत्येक माप में एक विशिष्ट संबंधित इकाई की जानकारी होती है।
> show measurements
name: measurements
name
----
cpu
disk
diskio
kernel
mem
processes
swap
system
कॉलम/फ़ील्ड की दिखाएं
फ़ील्ड की डेटाबेस के जैसे ही होते हैं।
> show field keys
name: cpu
fieldKey fieldType
-------- ---------
usage_guest float
usage_guest_nice float
usage_idle float
usage_iowait float
name: disk
fieldKey fieldType
-------- ---------
free integer
inodes_free integer
inodes_total integer
inodes_used integer
[ ... more keys ...]
टेबल डंप
और अंत में आप टेबल को डंप कर सकते हैं कुछ इस तरह से
select * from cpu
name: cpu
time cpu host usage_guest usage_guest_nice usage_idle usage_iowait usage_irq usage_nice usage_softirq usage_steal usage_system usage_user
---- --- ---- ----------- ---------------- ---------- ------------ --------- ---------- ------------- ----------- ------------ ----------
1497018760000000000 cpu-total ubuntu 0 0 99.297893681046 0 0 0 0 0 0.35105315947842414 0.35105315947842414
1497018760000000000 cpu1 ubuntu 0 0 99.69909729188728 0 0 0 0 0 0.20060180541622202 0.10030090270811101
{% hint style="warning" %}
कुछ परीक्षण में प्रमाणीकरण बाइपास के साथ यह देखा गया कि तालिका का नाम डबल कोट्स के बीच होना चाहिए, जैसे: select * from "cpu"
{% endhint %}
स्वचालित प्रमाणीकरण
msf6 > use auxiliary/scanner/http/influxdb_enum
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- क्या आप साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने का उपयोग करना है? सदस्यता योजनाएं की जांच करें!
- The PEASS Family की खोज करें, हमारा विशेष संग्रह NFTs
- आधिकारिक PEASS & HackTricks swag प्राप्त करें
- 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या मुझे Twitter पर फ़ॉलो करें 🐦@carlospolopm.
- हैकिंग ट्रिक्स साझा करें और PRs सबमिट करें hacktricks repo और hacktricks-cloud repo को
Trickest का उपयोग करें और आसानी से वर्कफ़्लो बनाएं और स्वचालित करें जो दुनिया के सबसे उन्नत समुदाय उपकरणों द्वारा संचालित होते हैं।
आज ही पहुंच प्राप्त करें:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}