hacktricks/network-services-pentesting/11211-memcache
2024-07-19 10:21:08 +00:00
..
memcache-commands.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:21:08 +00:00
README.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:21:08 +00:00

11211 - Memcacheのペンテスト

{% hint style="success" %} AWSハッキングを学び、実践するHackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践するHackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする
{% endhint %}

プロトコル情報

wikipediaから:

Memcached発音mem-cashed, mem-cash-deeは、一般的な分散メモリキャッシングシステムです。データとオブジェクトをRAMにキャッシュすることで、外部データソースデータベースやAPIなどを読み取る回数を減らし、動的なデータベース駆動のウェブサイトの速度を向上させるためにしばしば使用されます。

MemcachedはSASLをサポートしていますが、ほとんどのインスタンスは認証なしで公開されています

デフォルトポート: 11211

PORT      STATE SERVICE
11211/tcp open  unknown

Enumeration

Manual

memcacheインスタンス内に保存されているすべての情報を抽出するには、次の手順を実行する必要があります。

  1. アクティブアイテムのあるスラブを見つける
  2. 前に検出したスラブのキー名を取得する
  3. キー名を取得することで保存されたデータを抽出する

このサービスは単なるキャッシュであるため、データが現れたり消えたりすることを忘れないでください。

echo "version" | nc -vn -w 1 <IP> 11211      #Get version
echo "stats" | nc -vn -w 1 <IP> 11211        #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211  #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211  #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211  #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211  #Get saved info

#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'

マニュアル2

sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat  --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)

自動

nmap -n -sV --script memcached-info -p 11211 <IP>   #Just gather info
msf > use auxiliary/gather/memcached_extractor      #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible

Dumping Memcache Keys

メモキャッシュの領域では、データをスラブによって整理するのを助けるプロトコルであり、保存されたデータを検査するための特定のコマンドが存在しますが、顕著な制約があります:

  1. キーはスラブクラスごとにのみダンプでき、同様のコンテンツサイズのキーをグループ化します。
  2. スラブクラスごとに1ページの制限があり、これは1MBのデータに相当します。
  3. この機能は公式ではなく、いつでも中止される可能性があるため、コミュニティフォーラムで議論されています。

数ギガバイトのデータから1MBしかダンプできないという制限は特に重要です。しかし、この機能は特定のニーズに応じてキーの使用パターンに関する洞察を提供することができます。メカニクスにあまり興味がない方は、ツールセクションを訪れると、包括的なダンプのためのユーティリティが見つかります。あるいは、メモキャッシュのセットアップと直接対話するためのtelnetの使用プロセスは以下に示されています。

How it Works

メモキャッシュのメモリの組織は重要です。"-vv"オプションでメモキャッシュを起動すると、生成されるスラブクラスが表示されます。

$ memcached -vv
slab class   1: chunk size        96 perslab   10922
[...]

現在存在するすべてのスラブを表示するには、次のコマンドを使用します:

stats slabs

メモリキャッシュ 1.4.13 に単一のキーを追加することで、スラブクラスがどのように構成され、管理されるかを示しています。例えば:

set mykey 0 60 1
1
STORED

"stats slabs" コマンドをキー追加後に実行すると、スラブの利用状況に関する詳細な統計が得られます:

stats slabs
[...]

この出力は、アクティブなスラブタイプ、使用されているチャンク、および運用統計を明らかにし、読み取りおよび書き込み操作の効率に関する洞察を提供します。

もう一つの便利なコマンド「stats items」は、追い出し、メモリ制約、およびアイテムのライフサイクルに関するデータを提供します

stats items
[...]

これらの統計は、異なるコンテンツサイズに対するキャッシュ効率、メモリ割り当て、大きなオブジェクトのキャッシュ能力を含むアプリケーションキャッシングの動作についての教育的な仮定を可能にします。

キーのダンプ

バージョン1.4.31以前では、キーはスラブクラスによってダンプされます:

stats cachedump <slab class> <number of items to dump>

例えば、クラス#1のキーをダンプするには:

stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END

このメソッドはスラブクラスを反復処理し、キーの値を抽出し、オプションでダンプします。

MEMCACHE キーのダンプ (VER 1.4.31+)

memcache バージョン 1.4.31 以上では、リリースノートに詳述されている非ブロッキングモードを利用した、プロダクション環境でのキーをダンプするための新しい安全な方法が導入されました。このアプローチは広範な出力を生成するため、効率のために 'nc' コマンドを使用することを推奨します。例としては:

echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

ダンプツール

Table from here.

プログラミング言語 ツール 機能
PHP simple script キー名を表示します。
Perl simple script キーと値を表示します。
Ruby simple script キー名を表示します。
Perl memdump CPANモジュールのツール Memcached-libmemcached ached/)
PHP memcache.php キーのダンプも可能なMemcacheモニタリングGUI
libmemcached peep memcachedプロセスがフリーズします!!! 本番環境で使用する際は注意してください。それでも使用することで1MBの制限を回避し、すべてのキーをダンプできます。

トラブルシューティング

1MBデータ制限

memcached 1.4以前では、デフォルトの最大スラブサイズのため、1MBを超えるオブジェクトを保存できないことに注意してください。

タイムアウトを30日以上に設定しないでください

許可された最大値より大きなタイムアウトでキーを「設定」または「追加」しようとすると、memcachedはその値をUnixタイムスタンプとして扱うため、期待通りの結果が得られない場合があります。また、タイムスタンプが過去の場合は、何も行われません。コマンドは静かに失敗します。

したがって、最大の寿命を使用したい場合は、2592000を指定してください。例:

set my_key 0 2592000 1
1

Disappearing Keys on Overflow

ドキュメントには、64ビットのオーバーフロー値を「incr」を使用してラップすると値が消えると書かれていますが、再度「add」/「set」を使用して作成する必要があります。

Replication

memcached自体はレプリケーションをサポートしていません。本当に必要な場合は、サードパーティのソリューションを使用する必要があります

  • repcached: マルチマスター非同期レプリケーションmemcached 1.2パッチセット)
  • Couchbase memcached interface: CouchBaseをmemcachedのドロップインとして使用
  • yrmcds: memcached互換のマスタースレーブキー値ストア
  • twemproxy (別名nutcracker): memcachedサポートのプロキシ

Commands Cheat-Sheet

{% content-ref url="memcache-commands.md" %} memcache-commands.md {% endcontent-ref %}

Shodan

  • port:11211 "STAT pid"
  • "STAT pid"

References

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}