11211 - Pentesting Memcache

Reading time: 8 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Protokollinformationen

Von wikipedia:

Memcached (Aussprache: mem-cashed, mem-cash-dee) ist ein allgemeines verteiltes Speichercaching System. Es wird häufig verwendet, um dynamische, datenbankgestützte Websites zu beschleunigen, indem Daten und Objekte im RAM zwischengespeichert werden, um die Anzahl der Lesevorgänge einer externen Datenquelle (wie einer Datenbank oder API) zu reduzieren.

Obwohl Memcached SASL unterstützt, sind die meisten Instanzen ohne Authentifizierung exponiert.

Standardport: 11211

PORT      STATE SERVICE
11211/tcp open  unknown

Enumeration

Manual

Um alle Informationen, die in einer Memcache-Instanz gespeichert sind, zu exfiltrieren, müssen Sie:

  1. Slabs mit aktiven Elementen finden
  2. Die Schlüsselnamen der zuvor erkannten Slabs abrufen
  3. Die gespeicherten Daten durch Abrufen der Schlüsselnamen exfiltrieren

Denken Sie daran, dass dieser Dienst nur ein Cache ist, daher kann Daten erscheinen und verschwinden.

bash
echo "version" | nc -vn -w 1 <IP> 11211      #Get version
echo "stats" | nc -vn -w 1 <IP> 11211        #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211  #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211  #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211  #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211  #Get saved info

#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'

Manual2

bash
sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat  --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)

Automatisch

bash
nmap -n -sV --script memcached-info -p 11211 <IP>   #Just gather info
msf > use auxiliary/gather/memcached_extractor      #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible

Dumping Memcache Keys

Im Bereich von Memcache, einem Protokoll, das bei der Organisation von Daten nach Slabs hilft, gibt es spezifische Befehle zur Inspektion der gespeicherten Daten, jedoch mit bemerkenswerten Einschränkungen:

  1. Schlüssel können nur nach Slab-Klasse ausgegeben werden, wobei Schlüssel ähnlicher Inhaltsgröße gruppiert werden.
  2. Es gibt eine Begrenzung von einer Seite pro Slab-Klasse, was 1 MB Daten entspricht.
  3. Diese Funktion ist inoffiziell und kann jederzeit eingestellt werden, wie in Community-Foren besprochen.

Die Einschränkung, nur 1 MB aus potenziell Gigabytes an Daten ausgeben zu können, ist besonders signifikant. Diese Funktionalität kann jedoch dennoch Einblicke in die Nutzungsmuster von Schlüsseln bieten, abhängig von den spezifischen Bedürfnissen. Für diejenigen, die weniger an den Mechaniken interessiert sind, zeigt ein Besuch im Tools-Bereich Hilfsprogramme für umfassende Dumps. Alternativ wird der Prozess der Verwendung von Telnet für die direkte Interaktion mit Memcached-Setups unten beschrieben.

How it Works

Die Speicherorganisation von Memcache ist entscheidend. Das Starten von Memcache mit der Option "-vv" zeigt die Slab-Klassen, die es generiert, wie unten dargestellt:

bash
$ memcached -vv
slab class   1: chunk size        96 perslab   10922
[...]

Um alle derzeit vorhandenen Slabs anzuzeigen, wird der folgende Befehl verwendet:

bash
stats slabs

Das Hinzufügen eines einzelnen Schlüssels zu memcached 1.4.13 veranschaulicht, wie Slab-Klassen befüllt und verwaltet werden. Zum Beispiel:

bash
set mykey 0 60 1
1
STORED

Die Ausführung des Befehls "stats slabs" nach der Schlüsseladdition liefert detaillierte Statistiken über die Slab-Nutzung:

bash
stats slabs
[...]

Diese Ausgabe zeigt die aktiven Slab-Typen, genutzten Chunks und Betriebsstatistiken und bietet Einblicke in die Effizienz von Lese- und Schreiboperationen.

Ein weiterer nützlicher Befehl, "stats items", liefert Daten zu Eviktionen, Speicherbeschränkungen und Lebenszyklen von Elementen:

bash
stats items
[...]

Diese Statistiken ermöglichen fundierte Annahmen über das Caching-Verhalten von Anwendungen, einschließlich der Cache-Effizienz für verschiedene Inhaltsgrößen, der Speicherzuweisung und der Kapazität zum Caching großer Objekte.

Dumping Keys

Für Versionen vor 1.4.31 werden die Schlüssel nach Slab-Klasse mit folgendem Befehl ausgegeben:

bash
stats cachedump <slab class> <number of items to dump>

Um beispielsweise einen Schlüssel in Klasse #1 zu dumpen:

bash
stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END

Diese Methode iteriert über Slab-Klassen, extrahiert und dumpft optional Schlüsselwerte.

DUMPEN VON MEMCACHE-SCHLÜSSELN (VER 1.4.31+)

Mit der memcache-Version 1.4.31 und höher wird eine neue, sicherere Methode zum Dumpen von Schlüsseln in einer Produktionsumgebung eingeführt, die den nicht-blockierenden Modus nutzt, wie in den Release-Notizen beschrieben. Dieser Ansatz erzeugt umfangreiche Ausgaben, daher wird empfohlen, den Befehl 'nc' zur Effizienz zu verwenden. Beispiele sind:

bash
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

DUMPING TOOLS

Tabelle von hier.

ProgrammiersprachenToolsFunktionalität
PHPeinfaches SkriptGibt Schlüsselnamen aus.
Perleinfaches SkriptGibt Schlüssel und Werte aus
Rubyeinfaches SkriptGibt Schlüsselnamen aus.
PerlmemdumpTool im CPAN-ModulMemcached-libmemcachedached/)
PHPmemcache.phpMemcache-Monitoring-GUI, die auch das Dumpen von Schlüsseln ermöglicht
libmemcachedpeepFriert Ihren Memcached-Prozess ein!!! Seien Sie vorsichtig, wenn Sie dies in der Produktion verwenden. Wenn Sie es dennoch verwenden, können Sie die 1MB-Beschränkung umgehen und wirklich alle Schlüssel dumpen.

Fehlersuche

1MB Datenlimit

Beachten Sie, dass Sie vor memcached 1.4 keine Objekte größer als 1MB speichern können, da die standardmäßige maximale Slab-Größe dies nicht zulässt.

Setzen Sie niemals ein Timeout > 30 Tage!

Wenn Sie versuchen, einen Schlüssel mit einem Timeout größer als das erlaubte Maximum zu „setzen“ oder „hinzuzufügen“, erhalten Sie möglicherweise nicht das, was Sie erwarten, da memcached den Wert dann als Unix-Zeitstempel behandelt. Wenn der Zeitstempel auch in der Vergangenheit liegt, wird überhaupt nichts getan. Ihr Befehl wird stillschweigend fehlschlagen.

Wenn Sie also die maximale Lebensdauer verwenden möchten, geben Sie 2592000 an. Beispiel:

set my_key 0 2592000 1
1

Verschwundene Schlüssel bei Überlauf

Trotz der Dokumentation, die etwas über das Überlaufen eines Wertes mit 64 Bit sagt, führt die Verwendung von “incr” dazu, dass der Wert verschwindet. Er muss erneut mit “add”/”set” erstellt werden.

Replikation

memcached selbst unterstützt keine Replikation. Wenn Sie es wirklich benötigen, müssen Sie Lösungen von Drittanbietern verwenden:

  • repcached: Multi-Master asynchrone Replikation (memcached 1.2 Patch-Set)
  • Couchbase memcached-Schnittstelle: Verwenden Sie CouchBase als memcached Drop-in
  • yrmcds: memcached-kompatibler Master-Slave Key-Value-Speicher
  • twemproxy (auch bekannt als nutcracker): Proxy mit memcached-Unterstützung

Befehle Cheat-Sheet

Memcache Commands

Shodan

  • port:11211 "STAT pid"
  • "STAT pid"

Referenzen

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks