Splunk LPE and Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
もし内部または外部でマシンを列挙しているときにSplunkが実行中(ポート8090)で、運良く有効な認証情報を知っている場合、Splunkサービスを悪用してシェルを実行することができます。もしrootが実行している場合、特権をrootに昇格させることができます。
また、もしすでにrootであり、Splunkサービスがlocalhostのみにリッスンしていない場合、Splunkサービスからパスワードファイルを盗み、パスワードをクラッキングするか、新しい認証情報を追加することができます。そして、ホスト上で持続性を維持します。
下の最初の画像では、Splunkdのウェブページがどのように見えるかを示しています。
詳細については、投稿https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/を確認してください。これは要約です:
Exploit Overview: Splunk Universal Forwarder Agent(UF)をターゲットにしたエクスプロイトは、エージェントのパスワードを持つ攻撃者がエージェントを実行しているシステム上で任意のコードを実行できるようにし、ネットワーク全体を危険にさらす可能性があります。
Key Points:
UFエージェントは、受信接続やコードの真正性を検証しないため、不正なコード実行に対して脆弱です。
一般的なパスワード取得方法には、ネットワークディレクトリ、ファイル共有、内部文書での発見が含まれます。
成功したエクスプロイトは、侵害されたホストでのSYSTEMまたはrootレベルのアクセス、データの流出、さらなるネットワーク侵入につながる可能性があります。
Exploit Execution:
攻撃者がUFエージェントのパスワードを取得します。
Splunk APIを利用して、エージェントにコマンドやスクリプトを送信します。
可能なアクションには、ファイル抽出、ユーザーアカウントの操作、システムの侵害が含まれます。
Impact:
各ホストでのSYSTEM/rootレベルの権限を持つ完全なネットワーク侵害。
検出を回避するためのログの無効化の可能性。
バックドアやランサムウェアのインストール。
Example Command for Exploitation:
利用可能な公開エクスプロイト:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
詳細については、https://blog.hrncirik.net/cve-2023-46214-analysisを確認してください。
AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する: HackTricks Training GCP Red Team Expert (GRTE)