11211 - Pentesting Memcache
Reading time: 10 minutes
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。
协议信息
来自 wikipedia:
Memcached(发音:mem-cashed, mem-cash-dee)是一个通用的分布式 内存缓存 系统。它通常用于通过在RAM中缓存数据和对象来加速动态数据库驱动的网站,以减少读取外部数据源(如数据库或API)的次数。
尽管Memcached支持SASL,但大多数实例是 未经过身份验证的。
默认端口: 11211
PORT STATE SERVICE
11211/tcp open unknown
枚举
手动
要提取 memcache 实例中保存的所有信息,您需要:
- 找到 slabs 中的 活动项
- 获取之前检测到的 slabs 的 键名
- 通过 获取键名 来提取 保存的数据
请记住,这项服务只是一个 缓存,因此 数据可能会出现和消失。
echo "version" | nc -vn -w 1 <IP> 11211 #Get version
echo "stats" | nc -vn -w 1 <IP> 11211 #Get status
echo "stats slabs" | nc -vn -w 1 <IP> 11211 #Get slabs
echo "stats items" | nc -vn -w 1 <IP> 11211 #Get items of slabs with info
echo "stats cachedump <number> 0" | nc -vn -w 1 <IP> 11211 #Get key names (the 0 is for unlimited output size)
echo "get <item_name>" | nc -vn -w 1 <IP> 11211 #Get saved info
#This php will just dump the keys, you need to use "get <item_name> later"
sudo apt-get install php-memcached
php -r '$c = new Memcached(); $c->addServer("localhost", 11211); var_dump( $c->getAllKeys() );'
手动2
sudo apt install libmemcached-tools
memcstat --servers=127.0.0.1 #Get stats
memcdump --servers=127.0.0.1 #Get all items
memccat --servers=127.0.0.1 <item1> <item2> <item3> #Get info inside the item(s)
自动
nmap -n -sV --script memcached-info -p 11211 <IP> #Just gather info
msf > use auxiliary/gather/memcached_extractor #Extracts saved data
msf > use auxiliary/scanner/memcached/memcached_amp #Check is UDP DDoS amplification attack is possible
Dumping Memcache Keys
在memcache的领域中,一种通过slabs组织数据的协议,存在特定的命令用于检查存储的数据,尽管有显著的限制:
- 只能按slab类转储键,将相似内容大小的键分组。
- 每个slab类的限制为一页,相当于1MB的数据。
- 此功能是非官方的,可能随时被取消,如在community forums中讨论的那样。
只能从可能达到千兆字节的数据中转储1MB的限制尤其显著。然而,这一功能仍然可以根据特定需求提供对键使用模式的洞察。对于那些对机制不太感兴趣的人,可以访问tools section,查看全面转储的工具。或者,下面概述了使用telnet与memcached设置进行直接交互的过程。
How it Works
Memcache的内存组织至关重要。使用"-vv"选项启动memcache可以显示它生成的slab类,如下所示:
$ memcached -vv
slab class 1: chunk size 96 perslab 10922
[...]
要显示所有当前存在的 slabs,可以使用以下命令:
stats slabs
将单个键添加到 memcached 1.4.13 演示了如何填充和管理 slab 类。例如:
set mykey 0 60 1
1
STORED
执行“stats slabs”命令后添加键会产生关于 slab 利用率的详细统计信息:
stats slabs
[...]
此输出显示了活动的 slab 类型、使用的块和操作统计信息,提供了有关读写操作效率的见解。
另一个有用的命令 "stats items" 提供了关于驱逐、内存限制和项目生命周期的数据:
stats items
[...]
这些统计数据允许对应用程序缓存行为进行有根据的假设,包括不同内容大小的缓存效率、内存分配和缓存大对象的能力。
转储键
对于 1.4.31 之前的版本,键是通过 slab 类转储的,使用:
stats cachedump <slab class> <number of items to dump>
例如,要在类 #1 中转储一个键:
stats cachedump 1 1000
ITEM mykey [1 b; 1350677968 s]
END
此方法遍历 slab 类,提取并可选地转储键值。
转储 MEMCACHE 键 (VER 1.4.31+)
在 memcache 版本 1.4.31 及以上,引入了一种新的、更安全的方法来在生产环境中转储键,利用非阻塞模式,如 release notes 中详细说明。这种方法生成大量输出,因此建议使用 'nc' 命令以提高效率。示例包括:
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | head -1
echo 'lru_crawler metadump all' | nc 127.0.0.1 11211 | grep ee6ba58566e234ccbbce13f9a24f9a28
转储工具
表格 来自这里。
编程语言 | 工具 | 功能 | ||
---|---|---|---|---|
PHP | 简单脚本 | 打印键名。 | ||
Perl | 简单脚本 | 打印键和值 | ||
Ruby | 简单脚本 | 打印键名。 | ||
Perl | memdump | CPAN模块中的工具 | Memcached-libmemcached | ached/) |
PHP | memcache.php | Memcache监控GUI,也允许转储键 | ||
libmemcached | peep | 会冻结你的memcached进程!!! 使用时要小心。如果仍然使用它,你可以绕过1MB限制,真正转储所有键。 |
故障排除
1MB 数据限制
请注意,在memcached 1.4之前,您无法存储大于1MB的对象,因为默认的最大块大小。
永远不要设置超时 > 30 天!
如果您尝试“设置”或“添加”一个超时大于允许的最大值的键,您可能不会得到预期的结果,因为memcached会将该值视为Unix时间戳。如果时间戳在过去,它将根本不执行任何操作。您的命令将默默失败。
因此,如果您想使用最大生命周期,请指定2592000。示例:
set my_key 0 2592000 1
1
消失的键在溢出时
尽管文档提到关于使用“incr”时64位溢出会导致值消失。需要使用“add”/“set”重新创建。
复制
memcached 本身不支持复制。如果你真的需要它,你需要使用第三方解决方案:
- repcached: 多主异步复制(memcached 1.2 补丁集)
- Couchbase memcached 接口: 使用 CouchBase 作为 memcached 的替代
- yrmcds: 与 memcached 兼容的主从键值存储
- twemproxy (又名 nutcracker): 支持 memcached 的代理
命令备忘单
Shodan
port:11211 "STAT pid"
"STAT pid"
参考文献
tip
学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)
支持 HackTricks
- 查看 订阅计划!
- 加入 💬 Discord 群组 或 Telegram 群组 或 在 Twitter 🐦 上关注我们 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。