Splunk LPE and Persistence
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Wenn du eine Maschine intern oder extern enumerierst und Splunk läuft (Port 8090), kannst du, wenn du glücklicherweise gültige Anmeldeinformationen kennst, den Splunk-Dienst ausnutzen, um eine Shell als der Benutzer, der Splunk ausführt, zu starten. Wenn root es ausführt, kannst du die Berechtigungen auf root eskalieren.
Wenn du bereits root bist und der Splunk-Dienst nicht nur auf localhost hört, kannst du die Passwort-Datei vom Splunk-Dienst stehlen und die Passwörter knacken oder neue Anmeldeinformationen hinzufügen. Und die Persistenz auf dem Host aufrechterhalten.
Im ersten Bild unten siehst du, wie eine Splunkd-Webseite aussieht.
Zusammenfassung des Splunk Universal Forwarder Agent Exploits
Für weitere Details siehe den Beitrag https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Dies ist nur eine Zusammenfassung:
Überblick über den Exploit: Ein Exploit, der auf den Splunk Universal Forwarder Agent (UF) abzielt, ermöglicht Angreifern mit dem Agent-Passwort, beliebigen Code auf Systemen auszuführen, die den Agenten ausführen, was potenziell ein ganzes Netzwerk gefährden kann.
Wichtige Punkte:
Der UF-Agent validiert keine eingehenden Verbindungen oder die Authentizität von Code, was ihn anfällig für unbefugte Codeausführung macht.
Häufige Methoden zur Passwortbeschaffung umfassen das Auffinden in Netzwerkverzeichnissen, Dateifreigaben oder interner Dokumentation.
Erfolgreiche Ausnutzung kann zu SYSTEM- oder root-Zugriff auf kompromittierte Hosts, Datenexfiltration und weiterer Netzwerk-Infiltration führen.
Ausführung des Exploits:
Angreifer erhält das UF-Agent-Passwort.
Nutzt die Splunk-API, um Befehle oder Skripte an die Agenten zu senden.
Mögliche Aktionen umfassen Dateiextraktion, Manipulation von Benutzerkonten und Systemkompromittierung.
Auswirkungen:
Vollständige Netzwerkkompromittierung mit SYSTEM/root-Berechtigungen auf jedem Host.
Möglichkeit, das Logging zu deaktivieren, um der Erkennung zu entgehen.
Installation von Hintertüren oder Ransomware.
Beispielbefehl für die Ausnutzung:
Verwendbare öffentliche Exploits:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Missbrauch von Splunk-Abfragen
Für weitere Details siehe den Beitrag https://blog.hrncirik.net/cve-2023-46214-analysis
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated