Splunk LPE and Persistence
यदि आंतरिक या बाहरी रूप से किसी मशीन का गणना करते समय आपको Splunk चलाते हुए (पोर्ट 8090) मिलता है, यदि आपको किसी मान्य क्रेडेंशियल का पता है तो आप Splunk सेवा का दुरुपयोग करके एक शेल को उस उपयोगकर्ता के रूप में निष्पादित कर सकते हैं जो Splunk चला रहा है। यदि रूट इसे चला रहा है, तो आप रूट तक विशेषाधिकार बढ़ा सकते हैं।
यदि आप पहले से ही रूट हैं और Splunk सेवा केवल लोकलहोस्ट पर सुन नहीं रही है, तो आप Splunk सेवा से पासवर्ड फ़ाइल चुरा सकते हैं और पासवर्ड को क्रैक कर सकते हैं, या इसमें नए क्रेडेंशियल जोड़ सकते हैं। और होस्ट पर स्थिरता बनाए रख सकते हैं।
नीचे पहले चित्र में आप देख सकते हैं कि एक Splunkd वेब पृष्ठ कैसा दिखता है।
Splunk यूनिवर्सल फॉरवर्डर एजेंट का शोषण सारांश
अधिक विवरण के लिए पोस्ट देखें https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/। यह केवल एक सारांश है:
शोषण अवलोकन: Splunk यूनिवर्सल फॉरवर्डर एजेंट (UF) को लक्षित करने वाला एक शोषण उन हमलावरों को अनुमति देता है जिनके पास एजेंट पासवर्ड है, एजेंट चला रहे सिस्टम पर मनमाना कोड निष्पादित करने के लिए, संभावित रूप से पूरे नेटवर्क को खतरे में डालता है।
मुख्य बिंदु:
UF एजेंट आने वाले कनेक्शनों या कोड की प्रामाणिकता को मान्य नहीं करता है, जिससे यह अनधिकृत कोड निष्पादन के लिए संवेदनशील हो जाता है।
सामान्य पासवर्ड अधिग्रहण विधियों में उन्हें नेटवर्क निर्देशिकाओं, फ़ाइल शेयरों, या आंतरिक दस्तावेज़ों में ढूंढना शामिल है।
सफल शोषण से समझौता किए गए होस्ट पर SYSTEM या रूट स्तर की पहुंच, डेटा निकासी, और आगे के नेटवर्क में घुसपैठ हो सकती है।
शोषण निष्पादन:
हमलावर UF एजेंट पासवर्ड प्राप्त करता है।
एजेंटों को आदेश या स्क्रिप्ट भेजने के लिए Splunk API का उपयोग करता है।
संभावित क्रियाओं में फ़ाइल निष्कर्षण, उपयोगकर्ता खाता हेरफेर, और सिस्टम का समझौता शामिल है।
प्रभाव:
प्रत्येक होस्ट पर SYSTEM/रूट स्तर की अनुमतियों के साथ पूर्ण नेटवर्क समझौता।
पहचान से बचने के लिए लॉगिंग को अक्षम करने की संभावना।
बैकडोर या रैनसमवेयर की स्थापना।
शोषण के लिए उदाहरण आदेश:
उपयोगी सार्वजनिक एक्सप्लॉइट्स:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Splunk क्वेरी का दुरुपयोग
अधिक जानकारी के लिए पोस्ट देखें https://blog.hrncirik.net/cve-2023-46214-analysis
Last updated