Splunk LPE and Persistence
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Se enumerando una macchina internamente o esternamente trovi Splunk in esecuzione (porta 8090), se per fortuna conosci delle credenziali valide puoi sfruttare il servizio Splunk per eseguire una shell come l'utente che esegue Splunk. Se è in esecuzione come root, puoi elevare i privilegi a root.
Inoltre, se sei già root e il servizio Splunk non ascolta solo su localhost, puoi rubare il file delle password dal servizio Splunk e crackare le password, o aggiungere nuove credenziali. E mantenere la persistenza sull'host.
Nella prima immagine qui sotto puoi vedere come appare una pagina web di Splunkd.
Per ulteriori dettagli controlla il post https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Questo è solo un riepilogo:
Panoramica dell'Exploit: Un exploit che prende di mira l'Agente Splunk Universal Forwarder (UF) consente agli attaccanti con la password dell'agente di eseguire codice arbitrario sui sistemi che eseguono l'agente, compromettendo potenzialmente un'intera rete.
Punti Chiave:
L'agente UF non convalida le connessioni in arrivo o l'autenticità del codice, rendendolo vulnerabile all'esecuzione non autorizzata di codice.
I metodi comuni per acquisire password includono la loro localizzazione in directory di rete, condivisioni di file o documentazione interna.
Un exploit riuscito può portare a accesso a livello SYSTEM o root su host compromessi, esfiltrazione di dati e ulteriore infiltrazione nella rete.
Esecuzione dell'Exploit:
L'attaccante ottiene la password dell'agente UF.
Utilizza l'API di Splunk per inviare comandi o script agli agenti.
Le azioni possibili includono estrazione di file, manipolazione di account utente e compromissione del sistema.
Impatto:
Compromissione completa della rete con permessi a livello SYSTEM/root su ogni host.
Potenziale per disabilitare il logging per evitare il rilevamento.
Installazione di backdoor o ransomware.
Esempio di Comando per l'Exploitation:
Sfruttamenti pubblici utilizzabili:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Per ulteriori dettagli controlla il post https://blog.hrncirik.net/cve-2023-46214-analysis
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)