Splunk LPE and Persistence
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
As jy 'n masjien intern of ekstern opneem en jy vind Splunk wat loop (poort 8090), as jy gelukkig enige geldige akredensiale weet, kan jy die Splunk diens misbruik om 'n shell as die gebruiker wat Splunk uitvoer te voer. As root dit uitvoer, kan jy voorregte na root verhoog.
Ook, as jy alreeds root is en die Splunk diens nie net op localhost luister nie, kan jy die wagwoord lêer van die Splunk diens steel en die wagwoorde kraak, of nuwe akredensiale daaraan byvoeg. En volharding op die gasheer handhaaf.
In die eerste beeld hieronder kan jy sien hoe 'n Splunkd webblad lyk.
Vir verdere besonderhede, kyk na die pos https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Dit is net 'n opsomming:
Exploit Oorsig: 'n Exploit wat die Splunk Universele Voorouer Agent (UF) teiken, laat aanvallers met die agent wagwoord toe om arbitrêre kode op stelsels wat die agent uitvoer, uit te voer, wat moontlik 'n hele netwerk in gevaar stel.
Belangrike Punten:
Die UF agent valideer nie inkomende verbindings of die egtheid van kode nie, wat dit kwesbaar maak vir ongeoorloofde kode-uitvoering.
Algemene wagwoord verkrygingsmetodes sluit in om dit in netwerk gidse, lêer deel, of interne dokumentasie te vind.
Suksesvolle uitbuiting kan lei tot SYSTEM of root vlak toegang op gecompromitteerde gashere, data uitvloeiing, en verdere netwerk infiltrasie.
Exploit Uitvoering:
Aanvaller verkry die UF agent wagwoord.
Gebruik die Splunk API om opdragte of skripte na die agente te stuur.
Moglike aksies sluit lêer ekstraksie, gebruiker rekening manipulasie, en stelsel kompromie in.
Impak:
Volledige netwerk kompromie met SYSTEM/root vlak toestemmings op elke gasheer.
Potensiaal om logging te deaktiveer om opsporing te ontduik.
Installering van agterdeure of ransomware.
Voorbeeld Opdrag vir Uitbuiting:
Gebruikbare openbare exploits:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Vir verdere besonderhede, kyk na die pos https://blog.hrncirik.net/cve-2023-46214-analysis
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)