9200 - Pentesting Elasticsearch

Reading time: 12 minutes

基本情報

Elasticsearchは、分散型、オープンソースの検索および分析エンジンで、あらゆる種類のデータに対応しています。速度、スケーラビリティ、およびシンプルなREST APIで知られています。Apache Luceneの上に構築され、2010年にElasticsearch N.V.（現在のElastic）によって最初にリリースされました。Elasticsearchは、データの取り込み、強化、保存、分析、視覚化のためのオープンソースツールのコレクションであるElastic Stackのコアコンポーネントです。このスタックは一般にELK Stackと呼ばれ、LogstashやKibanaも含まれ、現在はBeatsと呼ばれる軽量データ送信エージェントがあります。

Elasticsearchインデックスとは？

Elasticsearchのインデックスは、関連するドキュメントのコレクションで、JSONとして保存されています。各ドキュメントは、キーとそれに対応する値（文字列、数値、ブール値、日付、配列、地理位置情報など）で構成されています。

Elasticsearchは、効率的なデータ構造である逆インデックスを使用して、高速な全文検索を実現しています。このインデックスは、ドキュメント内のすべてのユニークな単語をリストし、各単語が出現するドキュメントを特定します。

インデックス作成プロセス中に、Elasticsearchはドキュメントを保存し、逆インデックスを構築して、ほぼリアルタイムの検索を可能にします。インデックスAPIは、特定のインデックス内のJSONドキュメントを追加または更新するために使用されます。

デフォルトポート: 9200/tcp

手動列挙

バナー

Elasticsearchにアクセスするために使用されるプロトコルはHTTPです。HTTP経由でアクセスすると、いくつかの興味深い情報が見つかります: http://10.10.10.115:9200/

/にアクセスしてその応答が見えない場合は、次のセクションを参照してください。

認証

デフォルトではElasticsearchには認証が有効になっていませんので、デフォルトでは資格情報を使用せずにデータベース内のすべてにアクセスできます。

認証が無効になっていることを確認するには、次のリクエストを行います:

curl -X GET "ELASTICSEARCH-SERVER:9200/_xpack/security/user"
{"error":{"root_cause":[{"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."}],"type":"exception","reason":"Security must be explicitly enabled when using a [basic] license. Enable security by setting [xpack.security.enabled] to [true] in the elasticsearch.yml file and restart the node."},"status":500}

しかし、/ にリクエストを送信し、次のようなレスポンスを受け取った場合：

{"error":{"root_cause":[{"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}}],"type":"security_exception","reason":"missing authentication credentials for REST request [/]","header":{"WWW-Authenticate":"Basic realm=\"security\" charset=\"UTF-8\""}},"status":401}

それは、認証が設定されており、有効な資格情報が必要であることを意味します。これにより、elasticsearchから情報を取得できます。その後、ブルートフォースを試すことができます（HTTP基本認証を使用しているため、BF HTTP基本認証を使用できるものは何でも使用できます）。
ここにデフォルトのユーザー名のリストがあります：elastic（スーパーユーザー）、remote_monitoring_user、beats_system、logstash_system、kibana、kibana_system、apm_system、 _anonymous_。_ Elasticsearchの古いバージョンでは、このユーザーのデフォルトパスワードはchangemeです。

curl -X GET http://user:password@IP:9200/

基本的なユーザー列挙

#List all roles on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/role"

#List all users on the system:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user"

#Get more information about the rights of an user:
curl -X GET "ELASTICSEARCH-SERVER:9200/_security/user/<USERNAME>"

Elastic Info

以下は、elasticsearchに関する情報を取得するために、GETを介してアクセスできるエンドポイントです：

これらのエンドポイントは、ドキュメントから取得されたものです さらに詳しい情報を見つけることができます。
また、/_catにアクセスすると、レスポンスにはインスタンスがサポートする/_cat/*エンドポイントが含まれます。

/_security/user（認証が有効な場合）では、どのユーザーがsuperuserの役割を持っているかを確認できます。

Indices

http://10.10.10.115:9200/_cat/indices?vにアクセスすることで、すべてのインデックスを収集できます。

health status index   uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana 6tjAYZrgQ5CwwR0g6VOoRg   1   0          1            0        4kb            4kb
yellow open   quotes  ZG2D1IqkQNiNZmi2HRImnQ   5   1        253            0    262.7kb        262.7kb
yellow open   bank    eSVpNfCfREyYoVigNWcrMw   5   1       1000            0    483.2kb        483.2kb

インデックス内に保存されているデータの種類に関する情報を取得するには、http://host:9200/<index>にアクセスできます。この場合の例はhttp://10.10.10.115:9200/bankです。

インデックスのダンプ

インデックスのすべての内容をダンプしたい場合は、http://host:9200/<index>/_search?pretty=trueにアクセスできます。例えば、http://10.10.10.115:9200/bank/_search?pretty=trueのように。

この時点で、銀行インデックス内の各ドキュメント（エントリ）の内容と、前のセクションで見たこのインデックスのフィールドを比較してみてください。

ここで、"hits"内に"total"というフィールドがあり、このインデックス内に1000のドキュメントが見つかったことを示していることに気付くかもしれませんが、実際に取得されたのは10件だけです。これは、デフォルトで10件のドキュメントに制限があるためです。
しかし、**このインデックスに1000のドキュメントが含まれていることがわかったので、ダンプしたいエントリの数をsize**パラメータで指定して、すべてをダンプできます：http://10.10.10.115:9200/quotes/_search?pretty=true&size=1000asd
_注：より大きな数を指定すると、すべてのエントリがダンプされます。例えば、size=9999と指定すると、エントリがもっとあった場合は奇妙になります（ただし、確認する必要があります）。_

すべてをダンプ

すべてをダンプするには、以前と同じパスに行きますが、インデックスを指定せずにhttp://host:9200/_search?pretty=trueにアクセスします。例えば、http://10.10.10.115:9200/_search?pretty=trueのように。
この場合、デフォルトの10件の制限が適用されることを忘れないでください。sizeパラメータを使用して、より多くの結果をダンプできます。詳細については前のセクションを参照してください。

検索

情報を探している場合は、すべてのインデックスで生の検索を行うことができます。http://host:9200/_search?pretty=true&q=<search_term>にアクセスします。例えば、http://10.10.10.115:9200/_search?pretty=true&q=Rockwellのように。

特定のインデックスで検索したい場合は、パスにそれを指定するだけです：http://host:9200/<index>/_search?pretty=true&q=<search_term>

qパラメータは、コンテンツを検索するために正規表現をサポートしています。

また、Elasticsearchサービスをファズするために、https://github.com/misalabs/horuzのようなものを使用することもできます。

書き込み権限

新しいインデックス内に新しいドキュメントを作成しようとして、次のようなコマンドを実行することで、書き込み権限を確認できます。

curl -X POST '10.10.10.115:9200/bookindex/books' -H 'Content-Type: application/json' -d'
{
"bookId" : "A00-3",
"author" : "Sankaran",
"publisher" : "Mcgrahill",
"name" : "how to get a job"
}'

そのコマンドは、属性 "bookId"、"author"、"publisher"、および "name" を持つ books タイプのドキュメントを持つ 新しいインデックス bookindex を作成します。

新しいインデックスがリストに表示されることに注意してください：

また、自動的に作成されたプロパティにも注意してください：

自動列挙

いくつかのツールは、前述のデータの一部を取得します：

msf > use auxiliary/scanner/elasticsearch/indices_enum

GitHub - theMiddleBlue/nmap-elasticsearch-nse: Nmap NSE script for enumerate indices, plugins and cluster nodes on an elasticsearch target

Shodan

• port:9200 elasticsearch