通过Elasticsearch服务发现的信息泄露

正文

在进行信息搜集的时候,发现某目标的9200端口是开着的:

一般性流程如下:

1.使用Sublist3r、Amass 等子域名暴力破解工具进行子域名暴力破解

sublist3r -d example.com -o subdomains.txt  
  
  
amass enum -d example.com -o subdomains.txt

2.扫描开放端口

nmap -iL subdomains.txt -p 9200 --open -oG nmap_results.txt  
  
-iL subdomains.txt 参数指定输入文件，-p 9200 指定要扫描的端口，--open 仅显示开放的端口，-oG nmap_results.txt 将结果保存到文件。

识别Elasticsearch服务

检查 nmap_results.txt 中是否有9200端口开放的记录。如果有，通常意味着该端口上运行着Elasticsearch服务。

4.验证Elasticsearch服务

通过浏览器或命令行工具（如 curl）访问发现的9200端口，验证是否为Elasticsearch服务。

这里就访问了 http://test.redacted.com:9200/，返回的信息如下：

{  
  "name" : "4yXXXXX",  
  "cluster_name" : "docker-cluster",  
  "cluster_uuid" : "ulM_pLwNQbWXXXXXXXX",  
  "version" : {  
    "number" : "6.x.x",  
    "build_flavor" : "default",  
    "build_type" : "tar",  
    "build_hash" : "3bd3e59",  
    "build_date" : "2019-03-06T15:16:26.86xxxxxx",  
    "build_snapshot" : false,  
    "lucene_version" : "7.6.x",  
    "minimum_wire_compatibility_version" : "5.6.0",  
    "minimum_index_compatibility_version" : "5.0.0"  
  },  
  "tagline" : "You Know, for Search"  
}

这些信息表明Elasticsearch服务是公开的，并且没有任何访问权限控制。

5.枚举所有索引使用以下URL枚举了所有可用的索引： http://test.redacted.com:9200/\_cat/indices?v 这一步可以列出所有的数据库索引名称。

这里举个例子:

使用 curl 列出索引

curl -X GET "http://ip:9200/_cat/indices?v"  
  
这个命令将返回一个包含所有索引名称的列表。例如：  
  
health status index               uuid                   pri rep docs.count docs.deleted store.size pri.store.size  
green  open   aim_high            abcdef1234567890       1   1   2211       0            5.9mb      2.9mb  
green  open   .opensearch-observability efghijkl12345678   1   1   0          0            208b       104b  
green  open   .kibana_1           ijklmnop12345678       1   1   1          0            5.3kb      2.6kb

6.搜索敏感信息使用以下URL执行全索引搜索，以查找可能的敏感信息： http://test.redacted.com:9200/_all/_search?q=email
这个查询会在所有索引中搜索包含“email”的文档。还有一些其他常用的搜索关键词，例如：username, user, email, password, token, secret, key也可以尝试