HackTricks11211 - Pentesting Memcache
Reading time: 8 minutes
tip
Leer & oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.
Protocol Inligting
From wikipedia:
Memcached (uitspraak: mem-cashed, mem-cash-dee) is 'n algemene verspreide geheue-kas stelsel. Dit word dikwels gebruik om dinamiese databasis-gedrewe webwerwe te versnel deur data en voorwerpe in RAM te kas om die aantal kere wat 'n eksterne databron (soos 'n databasis of API) gelees moet word, te verminder.
Alhoewel Memcached SASL ondersteun, is die meeste instansies blootgestel sonder outentisering.
Standaard poort: 11211
PORT STATE SERVICE
11211/tcp open unknown
Enumerasie
Handmatig
Om al die inligting wat in 'n memcache-instantie gestoor is, te exfiltreer, moet jy:
- Slabs met aktiewe items vind
- Die sleutelname van die voorheen opgespoor slabs kry
- Die gestoor data exfiltreer deur die sleutelname te kry
Onthou dat hierdie diens net 'n cache is, so data mag verskyn en verdwyn.
echo "version" | nc -vn -w 1 <IP> 11211 #Get version
echo "stats" | nc -vn -w 1 <IP> 11211 #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211 #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211 #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211 #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211 #Get saved info
#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'
Handmatig2
sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)
Outomaties
nmap -n -sV --script memcached-info -p 11211 <IP> #Just gather info
msf > use auxiliary/gather/memcached_extractor #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible
Dumping Memcache Sleutels
In die wêreld van memcache, 'n protokol wat help om data volgens slabs te organiseer, bestaan daar spesifieke opdragte om die gestoor data te inspekteer, alhoewel met noemenswaardige beperkings:
- Sleutels kan slegs volgens slab klas gedump word, wat sleutels van soortgelyke inhoudsgrootte groepeer.
- 'n Beperking bestaan van een bladsy per slab klas, wat gelyk is aan 1MB data.
- Hierdie funksie is nie amptelik nie en kan te eniger tyd gestaak word, soos bespreek in gemeenskapsforums.
Die beperking om slegs 1MB uit potensieel gigabytes data te kan dump, is veral betekenisvol. Tog kan hierdie funksionaliteit steeds insigte bied in sleutels gebruikspatrone, afhangende van spesifieke behoeftes. Vir diegene wat minder geïnteresseerd is in die meganika, 'n besoek aan die gereedskap afdeling onthul nutsgoed vir omvattende dumping. Alternatiewelik, die proses om telnet te gebruik vir direkte interaksie met memcached opstellings word hieronder uiteengesit.
Hoe Dit Werk
Memcache se geheue-organisasie is van kardinale belang. Om memcache met die "-vv" opsie te begin, onthul die slab klasse wat dit genereer, soos hieronder getoon:
$ memcached -vv
slab class 1: chunk size 96 perslab 10922
[...]
Om al die huidige bestaande slabs te vertoon, word die volgende opdrag gebruik:
stats slabs
Die toevoeging van 'n enkele sleutel aan memcached 1.4.13 illustreer hoe slab klasse bevolk en bestuur word. Byvoorbeeld:
set mykey 0 60 1
1
STORED
Die uitvoering van die "stats slabs" opdrag na sleutel toevoeging lewer gedetailleerde statistieke oor slab benutting:
stats slabs
[...]
Hierdie uitvoer onthul die aktiewe slab tipe, gebruikte stukke, en operasionele statistieke, wat insigte bied in die doeltreffendheid van lees- en skryfoperasies.
'n Ander nuttige opdrag, "stats items", bied data oor ontruimings, geheuebeperkings, en itemlewe siklusse:
stats items
[...]
Hierdie statistieke stel in staat om ingeligte aannames te maak oor toepassingskasgedrag, insluitend kasdoeltreffendheid vir verskillende inhoudgroottes, geheue-toewysing, en kapasiteit om groot voorwerpe te kas.
Dumping Sleutels
Vir weergawes voor 1.4.31, sleutels word gedump deur slab klas met:
stats cachedump <slab class> <number of items to dump>
Byvoorbeeld, om 'n sleutel in klas #1 te dump:
stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END
Hierdie metode herhaal slab klasse, wat sleutelwaarde onttrek en opsioneel dump.
DUMP VAN MEMCACHE SLEUTELS (VER 1.4.31+)
Met memcache weergawe 1.4.31 en hoër, word 'n nuwe, veiliger metode vir die dump van sleutels in 'n produksie-omgewing bekendgestel, wat nie-blokkerende modus gebruik soos in die release notes beskryf. Hierdie benadering genereer uitgebreide uitvoer, daarom die aanbeveling om die 'nc' opdrag vir doeltreffendheid te gebruik. Voorbeelde sluit in:
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
DUMPING TOOLS
Table from here.
| Programmering Tale | Gereedskap | Funksionaliteit | ||
|---|---|---|---|---|
| PHP | simple script | Druk sleutelname. | ||
| Perl | simple script | Druk sleutels en waardes | ||
| Ruby | simple script | Druk sleutelname. | ||
| Perl | memdump | Gereedskap in CPAN module | Memcached-libmemcached | ached/) |
| PHP | memcache.php | Memcache Monitering GUI wat ook toelaat om sleutels te dump | ||
| libmemcached | peep | Bevries jou memcached proses!!! Wees versigtig wanneer jy dit in produksie gebruik. As jy dit steeds gebruik, kan jy die 1MB beperking omseil en regtig alle sleutels dump. |
Troubleshooting
1MB Data Limiet
Let daarop dat voor memcached 1.4 jy nie voorwerpe groter as 1MB kan stoor nie weens die standaard maksimum slab grootte.
Stel Nooit 'n Timeout > 30 Dae!
As jy probeer om 'n sleutel met 'n timeout groter as die toegelate maksimum te “stel” of “toe te voeg”, mag jy nie kry wat jy verwag nie, omdat memcached dan die waarde as 'n Unix tydstempel behandel. Ook, as die tydstempel in die verlede is, sal dit glad nie iets doen nie. Jou opdrag sal stilweg misluk.
So as jy die maksimum leeftyd wil gebruik, spesifiseer 2592000. Voorbeeld:
set my_key 0 2592000 1
1
Verdwynende Sleutels op Oorloop
Ten spyte van die dokumentasie wat iets sê oor die omhulsel van 64bit wat 'n waarde oorgaan, veroorsaak die gebruik van “incr” dat die waarde verdwyn. Dit moet weer geskep word met “add”/”set”.
Replikaasje
memcached self ondersteun nie replikaasie nie. As jy dit regtig nodig het, moet jy 3departy-oplossings gebruik:
- repcached: Multi-master asynchrone replikaasie (memcached 1.2 patch set)
- Couchbase memcached interface: Gebruik CouchBase as memcached drop-in
- yrmcds: memcached-compatibele Meester-Slaaf sleutelwaarde stoor
- twemproxy (ook bekend as nutcracker): proxy met memcached ondersteuning
Opdrag Cheat-Sheet
Shodan
port:11211 "STAT pid""STAT pid"
Verwysings
tip
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ondersteun HackTricks
- Kyk na die subskripsie planne!
- Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.