Splunk LPE and Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Αν καταμετράτε μια μηχανή εσωτερικά ή εξωτερικά και βρείτε το Splunk να τρέχει (θύρα 8090), αν έχετε την τύχη να γνωρίζετε οποιαδήποτε έγκυρα διαπιστευτήρια μπορείτε να καταχραστείτε την υπηρεσία Splunk για να εκτελέσετε ένα shell ως ο χρήστης που τρέχει το Splunk. Αν το τρέχει ο root, μπορείτε να αναβαθμίσετε τα δικαιώματα σε root.
Επίσης, αν είστε ήδη root και η υπηρεσία Splunk δεν ακούει μόνο σε localhost, μπορείτε να κλέψετε το αρχείο κωδικών από την υπηρεσία Splunk και να σπάσετε τους κωδικούς, ή να προσθέσετε νέα διαπιστευτήρια σε αυτό. Και να διατηρήσετε την επιμονή στον host.
Στην πρώτη εικόνα παρακάτω μπορείτε να δείτε πώς φαίνεται μια σελίδα web του Splunkd.
Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Αυτό είναι απλώς μια σύνοψη:
Exploit Overview: Μια εκμετάλλευση που στοχεύει τον Splunk Universal Forwarder Agent (UF) επιτρέπει στους επιτιθέμενους με τον κωδικό του agent να εκτελούν αυθαίρετο κώδικα σε συστήματα που τρέχουν τον agent, ενδεχομένως να διακυβεύσουν ολόκληρο το δίκτυο.
Key Points:
Ο agent UF δεν επικυρώνει τις εισερχόμενες συνδέσεις ή την αυθεντικότητα του κώδικα, καθιστώντας τον ευάλωτο σε μη εξουσιοδοτημένη εκτέλεση κώδικα.
Κοινές μέθοδοι απόκτησης κωδικών περιλαμβάνουν την εύρεση τους σε καταλόγους δικτύου, κοινές χρήσεις αρχείων ή εσωτερική τεκμηρίωση.
Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε πρόσβαση σε επίπεδο SYSTEM ή root σε διακυβευμένους hosts, εξαγωγή δεδομένων και περαιτέρω διείσδυση στο δίκτυο.
Exploit Execution:
Ο επιτιθέμενος αποκτά τον κωδικό του agent UF.
Χρησιμοποιεί το API του Splunk για να στείλει εντολές ή scripts στους agents.
Πιθανές ενέργειες περιλαμβάνουν εξαγωγή αρχείων, χειρισμό λογαριασμών χρηστών και διακυβέρνηση συστήματος.
Impact:
Πλήρης διακυβέρνηση του δικτύου με δικαιώματα SYSTEM/root σε κάθε host.
Πιθανότητα απενεργοποίησης της καταγραφής για να αποφευχθεί η ανίχνευση.
Εγκατάσταση backdoors ή ransomware.
Example Command for Exploitation:
Χρήσιμα δημόσια exploits:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://blog.hrncirik.net/cve-2023-46214-analysis
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)