11211 - Pentesting Memcache

Reading time: 7 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Informacije o protokolu

Sa wikipedia:

Memcached (izgovor: mem-kasht, mem-kash-dee) je sistem za distribuciju keširanja u memoriji opšte namene. Često se koristi za ubrzavanje dinamičkih veb sajtova zasnovanih na bazi podataka keširanjem podataka i objekata u RAM-u kako bi se smanjio broj puta kada se mora čitati spoljni izvor podataka (kao što su baza podataka ili API).

Iako Memcached podržava SASL, većina instanci je izložena bez autentifikacije.

Podrazumevani port: 11211

PORT      STATE SERVICE
11211/tcp open  unknown

Enumeracija

Ručno

Da biste ekfiltrirali sve informacije sačuvane unutar memcache instance, potrebno je:

  1. Pronaći slabe sa aktivnim stavkama
  2. Dobiti imena ključeva slabova otkrivenih ranije
  3. Ekfiltrirati sačuvane podatke dobijanjem imena ključeva

Zapamtite da je ova usluga samo keš, tako da podatci mogu da se pojavljuju i nestaju.

bash
echo "version" | nc -vn -w 1 <IP> 11211      #Get version
echo "stats" | nc -vn -w 1 <IP> 11211        #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211  #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211  #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211  #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211  #Get saved info

#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'

Manual2

bash
sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat  --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)

Automatski

bash
nmap -n -sV --script memcached-info -p 11211 <IP>   #Just gather info
msf > use auxiliary/gather/memcached_extractor      #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible

Dumpovanje Memcache Ključeva

U oblasti memcache, protokola koji pomaže u organizovanju podataka po slabovima, postoje specifične komande za inspekciju sačuvanih podataka, iako sa značajnim ograničenjima:

  1. Ključevi se mogu dumpovati samo po slab klasi, grupišući ključeve slične veličine sadržaja.
  2. Postoji ograničenje od jedne stranice po slab klasi, što odgovara 1MB podataka.
  3. Ova funkcija je neslužbena i može biti ukinuta u bilo kojem trenutku, kao što je raspravljeno na forumima zajednice.

Ograničenje dumpovanja samo 1MB iz potencijalno gigabajta podataka je posebno značajno. Ipak, ova funkcionalnost može pružiti uvide u obrasce korišćenja ključeva, u zavisnosti od specifičnih potreba. Za one koji su manje zainteresovani za mehaniku, poseta odeljku alata otkriva alate za sveobuhvatan dump. Alternativno, proces korišćenja telnet-a za direktnu interakciju sa memcached postavkama je opisan u nastavku.

Kako to funkcioniše

Organizacija memorije u memcache-u je ključna. Pokretanje memcache-a sa opcijom "-vv" otkriva slab klase koje generiše, kao što je prikazano u nastavku:

bash
$ memcached -vv
slab class   1: chunk size        96 perslab   10922
[...]

Da biste prikazali sve trenutno postojeće slabove, koristi se sledeća komanda:

bash
stats slabs

Dodavanje jednog ključa u memcached 1.4.13 ilustruje kako se slab klase popunjavaju i upravljaju. Na primer:

bash
set mykey 0 60 1
1
STORED

Izvršavanje komande "stats slabs" nakon dodavanja ključa daje detaljnu statistiku o korišćenju slabova:

bash
stats slabs
[...]

Ovaj izlaz otkriva aktivne tipove slabova, korišćene delove i operativne statistike, pružajući uvide u efikasnost operacija čitanja i pisanja.

Još jedna korisna komanda, "stats items", pruža podatke o evikcijama, ograničenjima memorije i životnim ciklusima stavki:

bash
stats items
[...]

Ove statistike omogućavaju obrazložene pretpostavke o ponašanju keširanja aplikacija, uključujući efikasnost keša za različite veličine sadržaja, alokaciju memorije i kapacitet za keširanje velikih objekata.

Dumping Keys

Za verzije pre 1.4.31, ključevi se dumpuju po slab klasi koristeći:

bash
stats cachedump <slab class> <number of items to dump>

Na primer, da biste ispraznili ključ u klasi #1:

bash
stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END

Ova metoda prolazi kroz slab klase, izvlačeći i opcionalno dumpujući ključne vrednosti.

DUMPOVANJE MEMCACHE KLJUČEVA (VER 1.4.31+)

Sa memcache verzijom 1.4.31 i novijim, uvedena je nova, sigurnija metoda za dumpovanje ključeva u produkcionom okruženju, koristeći neblokirajući režim kao što je detaljno opisano u release notes. Ovaj pristup generiše opsežan izlaz, stoga se preporučuje korišćenje 'nc' komande za efikasnost. Primeri uključuju:

bash
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28

DUMPING TOOLS

Table from here.

Programming LanguagesToolsFunctionality
PHPsimple scriptŠtampa imena ključeva.
Perlsimple scriptŠtampa ključeve i vrednosti
Rubysimple scriptŠtampa imena ključeva.
PerlmemdumpAlat u CPAN moduluMemcached-libmemcachedached/)
PHPmemcache.phpMemcache Monitoring GUI koji takođe omogućava dumpovanje ključeva
libmemcachedpeepZamrzava vaš memcached proces!!! Budite oprezni kada ovo koristite u produkciji. I dalje, koristeći ovo možete zaobići ograničenje od 1MB i stvarno dumpovati sve ključeve.

Troubleshooting

1MB Data Limit

Napomena da pre memcached 1.4 ne možete čuvati objekte veće od 1MB zbog podrazumevane maksimalne veličine slab.

Never Set a Timeout > 30 Days!

Ako pokušate da “set” ili “add” ključ sa vremenskim ograničenjem većim od dozvoljenog maksimuma, možda nećete dobiti ono što očekujete jer memcached tada tretira vrednost kao Unix vremensku oznaku. Takođe, ako je vremenska oznaka u prošlosti, neće učiniti ništa. Vaša komanda će tiho propasti.

Dakle, ako želite da koristite maksimalni vek trajanja, navedite 2592000. Primer:

set my_key 0 2592000 1
1

Nestajući Ključevi na Prelijevanju

Iako dokumentacija kaže nešto o tome da prelivanje 64bit vrednosti koristeći “incr” uzrokuje nestanak vrednosti. Potrebno je ponovo kreirati koristeći “add”/”set”.

Replikacija

memcached sam ne podržava replikaciju. Ako vam je zaista potrebna, morate koristiti rešenja trećih strana:

  • repcached: Multi-master asinkrona replikacija (memcached 1.2 patch set)
  • Couchbase memcached interfejs: Koristite CouchBase kao memcached drop-in
  • yrmcds: memcached kompatibilna Master-Slave skladište ključeva i vrednosti
  • twemproxy (poznat i kao nutcracker): proxy sa podrškom za memcached

Komande Cheat-Sheet

Memcache Commands

Shodan

  • port:11211 "STAT pid"
  • "STAT pid"

Reference

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks