在 之前的文章 中, 我向大家介绍了如何在 Ubuntu 18.04 上配置 Memcached Server, 来构建我们自己的渗透测试实验环境. 而本文我们将学习多种利用 Memcached Server 的方法.
实验环境
目标: 在 Ubuntu 18.04 上运行的 Memcached Server
攻击者: Kali Linux
话不多说, 那我们开始吧!
手动从 Memcached Server 转储数据
我们先来启动 Kali Linux 机器, 并执行个简单的 nmap 扫描, 以检查目标计算机是否存在正在运行的 Memcached Server.
nmap -sV -p- 192.168.1.32
如上图所示, Memcached 正在目标机器上运行, 运行端口为 11211.
现在, 让我们通过键入以下命令使用 nmap 脚本命令进行一些高级搜索.
nmap -p11211 --script=Memcached-info 192.168.1.32
如上图所示, nmap 脚本命令向我们提取了一些关于 Memcached Server 的重要信息, 例如进程 ID, 正常运行时间, 架构, Mac 地址等.
现在, 让我们尝试使用 telnet 连接 Memcached Server, 输入以下命令.
telnet 192.168.1.32 11211
正如你在上图中看到的, 我们可以通过 telnet 连接 Memcached Server. 在意味着服务器未受到任何的保护 (未配置 SASL 或任何类型的防火墙), 因此攻击者可以非常顺利的访问服务器. 让我们进一步的利用已获取访问权限的 Memcached Server.
键入以下命令检查 Memcached Server 的当前版本.
version
可以看到 Memcached 的版本为 1.5.6, 运行在 Ubuntu 机器上.
现在, 让我们直接获取存储在服务器中的有价值数据. 键入以下命令打印服务器所有常规统计信息.
stats
以上信息显示了当前的流量统计信息. 包括连接数, 数据被存储到缓存中, 缓存命中率以及有关内存使用和信息分布的详细信息.
现在, 我们将运行另一个命令来获取 slab 统计信息. 命令如下:
stats slabs
如上图所示, 目前服务器中只有一个编号为 1 的 slab.
现在, 让我们运行下面的命令来显示各个 slab 中 item 的数目和存储时长 (最后一次访问距离现在的秒数).
stats items
接着, 我们运行下面的命令来转储特定 slab 中存在的所有键.
stats cachedump 1 0
这里 1 和 0 是参数,
1 = slab ID
0 = 要转储的键数, 0 表示转储存在的所有键.
上图代表 ITEM [ b; s]
现在, 我们可以简单地使用 get 命令来获取存储在键中的值, 如下所示.
- get first
- get second
- get third
正如你在上图中所看到的, 我们已成功转储了存储在键值中的数据.
使用 libmemcached-tools 转储数据
首先在我们的系统中安装 libmemcached-tools, 键入以下命令.
apt install libmemcached-tools
现在我们已安装了 libmemcached-tools, 通过输入以下命令开始使用它.
memcstat --servers=192.168.1.33
以上命令将会为我们显示与之前 stats 命令几乎相同的结果.
现在, 让我们直接转储存储在服务器中的键值. 运行以下命令.
memcdump --servers=192.168.1.33
正如你在上图中看到的, 我们已经转储了当前服务器中存在的所有键.
现在, 让我们分别转储存储在键中的所有值. 运行以下命令.
memccat --servers=192.168.1.33 fifth fourth third second first
以上命令为我们获取到了存储在各个键中的所有数据. 攻击者可以使用 libmemcached-tools 轻松地将任何恶意文件上传到服务器. 在这里, 我们将向你展示如何在服务器中上传文件.
输入以下命令.
memccp --servers=192.168.1.33 file
这里, memccp 命令正在上传一个名为 "file.txt" 的文件, 该文件存在于我们系统的根目录中. 现在, 让我们使用 memcat 来查看该文件中的内容.
memcat --servers=192.168.1.33 file
使用 Metasploit 转储数据
启动 Metasploit Framework 并搜索 Memcache.
search memcache
可以看到当前有 4 个可用的 auxiliary 模块.
这里我选择使用的是 auxiliary/gather/memcached_extractor 模块. 运行下面给出的命令.
use auxiliary/gather/memcached_extractor
在 Metasploit Framework 中成功导入 auxiliary 后, 只需设置 rhost 然后运行即可. 上图显示 auxiliary 已提取了当前存在于 Memcached 服务器中的键值, 并将其保存到了默认位置 / root/.msf4/loot/20190218044841_default_192.168.1.35_memcached.dump_286171.txt.
使用 Watchers 监听
Watchers 是一种连接到 Memcached 并监听内部执行的所有操作的方法.
现在, 我们使用 telnet 连接到 Memcached 并输入以下命令.
watch fetchers
其中 OK 表示 watcher 已准备好发送日志.
正如你在上图中所看到的, 服务器中正在执行的所有操作都会被实时的显示在这里.
总结
在本文中我们学习了简单利用 Memcached server 的方法. 在之后的文章中, 我将向大家展示更为高级的 Memcached server 的利用方法.
来源: http://www.tuicool.com/articles/3U32eyA