13 KiB
11211 - Pentesting Memcache
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Protocol Information
From wikipedia:
Memcached (izgovor: mem-kesd, mem-keš-di) je sistem za keširanje u memoriji opšte namene. Često se koristi za ubrzavanje dinamičkih veb sajtova koji koriste baze podataka keširanjem podataka i objekata u RAM-u kako bi se smanjio broj puta kada se mora čitati spoljni izvor podataka (kao što su baza podataka ili API).
Iako Memcached podržava SASL, većina instanci je izložena bez autentifikacije.
Podrazumevani port: 11211
PORT STATE SERVICE
11211/tcp open unknown
Enumeration
Manual
Da biste ekfiltrirali sve informacije sačuvane unutar memcache instance, potrebno je:
- Pronaći slabs sa aktivnim stavkama
- Dobiti imena ključeva slabova otkrivenih ranije
- Ekfiltrirati sačuvane podatke dobijanjem imena ključeva
Zapamtite da je ova usluga samo cache, tako da podatci mogu da se pojavljuju i nestaju.
echo "version" | nc -vn -w 1 <IP> 11211 #Get version
echo "stats" | nc -vn -w 1 <IP> 11211 #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211 #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211 #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211 #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211 #Get saved info
#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'
Manual2
sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)
Automatski
nmap -n -sV --script memcached-info -p 11211 <IP> #Just gather info
msf > use auxiliary/gather/memcached_extractor #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible
Dumping Memcache Keys
U oblasti memcache, protokola koji pomaže u organizovanju podataka po slabovima, postoje specifične komande za inspekciju sačuvanih podataka, iako sa značajnim ograničenjima:
- Ključevi se mogu dumpovati samo po slab klasi, grupišući ključeve slične veličine sadržaja.
- Postoji ograničenje od jedne stranice po slab klasi, što odgovara 1MB podataka.
- Ova funkcija je neslužbena i može biti ukinuta u bilo kojem trenutku, kao što je raspravljeno na forumima zajednice.
Ograničenje dumpovanja samo 1MB iz potencijalno gigabajta podataka je posebno značajno. Ipak, ova funkcionalnost može pružiti uvide u obrasce korišćenja ključeva, u zavisnosti od specifičnih potreba. Za one koji su manje zainteresovani za mehaniku, poseta odeljku sa alatima otkriva alate za sveobuhvatan dump. Alternativno, proces korišćenja telnet-a za direktnu interakciju sa memcached postavkama je opisan u nastavku.
How it Works
Organizacija memorije u memcache-u je ključna. Pokretanje memcache-a sa opcijom "-vv" otkriva slab klase koje generiše, kao što je prikazano u nastavku:
$ memcached -vv
slab class 1: chunk size 96 perslab 10922
[...]
Da biste prikazali sve trenutno postojeće slabove, koristi se sledeća komanda:
stats slabs
Dodavanje jednog ključa u memcached 1.4.13 ilustruje kako se slab klase popunjavaju i upravljaju. Na primer:
set mykey 0 60 1
1
STORED
Izvršavanje komande "stats slabs" nakon dodavanja ključa daje detaljnu statistiku o korišćenju slabova:
stats slabs
[...]
Ovaj izlaz otkriva aktivne tipove slabova, korišćene delove i operativne statistike, pružajući uvide u efikasnost operacija čitanja i pisanja.
Još jedna korisna komanda, "stats items", pruža podatke o evikcijama, ograničenjima memorije i životnim ciklusima stavki:
stats items
[...]
Ove statistike omogućavaju obrazložene pretpostavke o ponašanju keširanja aplikacija, uključujući efikasnost keša za različite veličine sadržaja, alokaciju memorije i kapacitet za keširanje velikih objekata.
Dumping Keys
Za verzije pre 1.4.31, ključevi se dumpuju po slab klasi koristeći:
stats cachedump <slab class> <number of items to dump>
Na primer, da biste dumpovali ključ u klasi #1:
stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END
Ova metoda prolazi kroz slab klase, izvlačeći i opcionalno dumpujući ključne vrednosti.
DUMPING MEMCACHE KEYS (VER 1.4.31+)
Sa verzijom memcache 1.4.31 i iznad, uvedena je nova, sigurnija metoda za dumpovanje ključeva u produkcionom okruženju, koristeći neblokirajući režim kao što je detaljno opisano u release notes. Ovaj pristup generiše opsežan izlaz, stoga se preporučuje korišćenje 'nc' komande za efikasnost. Primeri uključuju:
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
DUMPING TOOLS
Table from here.
Programming Languages | Tools | Functionality | ||
---|---|---|---|---|
PHP | simple script | Štampa imena ključeva. | ||
Perl | simple script | Štampa ključeve i vrednosti | ||
Ruby | simple script | Štampa imena ključeva. | ||
Perl | memdump | Alat u CPAN modulu | Memcached-libmemcached | ached/) |
PHP | memcache.php | Memcache Monitoring GUI koji takođe omogućava dumpovanje ključeva | ||
libmemcached | peep | Zamrzava vaš memcached proces!!! Budite oprezni kada to koristite u produkciji. I dalje, koristeći to možete zaobići ograničenje od 1MB i stvarno dumpovati sve ključeve. |
Troubleshooting
1MB Data Limit
Napomena da pre memcached 1.4 ne možete čuvati objekte veće od 1MB zbog podrazumevane maksimalne veličine slab.
Never Set a Timeout > 30 Days!
Ako pokušate da “set” ili “add” ključ sa vremenskim ograničenjem većim od dozvoljenog maksimuma, možda nećete dobiti ono što očekujete jer memcached tada tretira vrednost kao Unix vremensku oznaku. Takođe, ako je vremenska oznaka u prošlosti, neće učiniti ništa. Vaša komanda će tiho propasti.
Dakle, ako želite da koristite maksimalni vek, navedite 2592000. Primer:
set my_key 0 2592000 1
1
Disappearing Keys on Overflow
Iako dokumentacija kaže nešto o prebacivanju oko 64bit prelivanja vrednosti koristeći “incr”, to uzrokuje da vrednost nestane. Potrebno je ponovo je kreirati koristeći “add”/”set”.
Replication
memcached sam ne podržava replikaciju. Ako vam je zaista potrebna, morate koristiti rešenja trećih strana:
- repcached: Multi-master async replikacija (memcached 1.2 patch set)
- Couchbase memcached interface: Koristite CouchBase kao memcached drop-in
- yrmcds: memcached kompatibilan Master-Slave key value store
- twemproxy (aka nutcracker): proxy sa memcached podrškom
Commands Cheat-Sheet
{% content-ref url="memcache-commands.md" %} memcache-commands.md {% endcontent-ref %}
Shodan
port:11211 "STAT pid"
"STAT pid"
References
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.