Logstash
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Logstash se utiliza para reunir, transformar y despachar registros a través de un sistema conocido como pipelines. Estos pipelines están compuestos por etapas de entrada, filtro y salida. Un aspecto interesante surge cuando Logstash opera en una máquina comprometida.
Los pipelines se configuran en el archivo /etc/logstash/pipelines.yml, que lista las ubicaciones de las configuraciones del pipeline:
Este archivo revela dónde se encuentran los archivos .conf, que contienen configuraciones de pipeline. Al emplear un módulo de salida de Elasticsearch, es común que los pipelines incluyan credenciales de Elasticsearch, que a menudo poseen privilegios extensos debido a la necesidad de Logstash de escribir datos en Elasticsearch. Los comodines en las rutas de configuración permiten a Logstash ejecutar todos los pipelines que coincidan en el directorio designado.
Para intentar el escalamiento de privilegios, primero identifica el usuario bajo el cual se está ejecutando el servicio de Logstash, típicamente el usuario logstash. Asegúrate de cumplir uno de estos criterios:
Poseer acceso de escritura a un archivo de pipeline .conf o
El archivo /etc/logstash/pipelines.yml utiliza un comodín, y puedes escribir en la carpeta de destino
Además, una de estas condiciones debe cumplirse:
Capacidad para reiniciar el servicio de Logstash o
El archivo /etc/logstash/logstash.yml tiene config.reload.automatic: true configurado
Dado un comodín en la configuración, crear un archivo que coincida con este comodín permite la ejecución de comandos. Por ejemplo:
Aquí, interval determina la frecuencia de ejecución en segundos. En el ejemplo dado, el comando whoami se ejecuta cada 120 segundos, con su salida dirigida a /tmp/output.log.
Con config.reload.automatic: true en /etc/logstash/logstash.yml, Logstash detectará y aplicará automáticamente nuevas o modificadas configuraciones de pipeline sin necesidad de reiniciar. Si no hay un comodín, aún se pueden hacer modificaciones a las configuraciones existentes, pero se aconseja tener precaución para evitar interrupciones.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)