Splunk LPE and Persistence
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Jeśli enumerując maszynę wewnętrznie lub zewnętrznie znajdziesz uruchomiony Splunk (port 8090), jeśli masz szczęście i znasz jakieś ważne dane logowania, możesz wykorzystać usługę Splunk do wykonania powłoki jako użytkownik uruchamiający Splunk. Jeśli uruchamia go root, możesz podnieść uprawnienia do roota.
Jeśli jesteś już rootem i usługa Splunk nie nasłuchuje tylko na localhost, możesz ukraść plik hasła z usługi Splunk i złamać hasła lub dodać nowe dane logowania. I utrzymać trwałość na hoście.
Na pierwszym obrazie poniżej możesz zobaczyć, jak wygląda strona internetowa Splunkd.
Aby uzyskać więcej szczegółów, sprawdź post https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. To tylko podsumowanie:
Przegląd Eksploatacji: Eksploatacja celująca w Agenta Splunk Universal Forwarder (UF) pozwala atakującym z hasłem agenta na wykonywanie dowolnego kodu na systemach uruchamiających agenta, co potencjalnie może skompromitować całą sieć.
Kluczowe Punkty:
Agent UF nie weryfikuje przychodzących połączeń ani autentyczności kodu, co czyni go podatnym na nieautoryzowane wykonanie kodu.
Powszechne metody pozyskiwania haseł obejmują ich lokalizację w katalogach sieciowych, udostępnionych plikach lub dokumentacji wewnętrznej.
Udana eksploatacja może prowadzić do dostępu na poziomie SYSTEM lub roota na skompromitowanych hostach, wycieków danych i dalszej infiltracji sieci.
Wykonanie Eksploatacji:
Atakujący uzyskuje hasło agenta UF.
Wykorzystuje API Splunk do wysyłania poleceń lub skryptów do agentów.
Możliwe działania obejmują ekstrakcję plików, manipulację kontami użytkowników i kompromitację systemu.
Wpływ:
Całkowita kompromitacja sieci z uprawnieniami SYSTEM/root na każdym hoście.
Potencjał do wyłączenia logowania w celu uniknięcia wykrycia.
Instalacja backdoorów lub ransomware.
Przykładowe Polecenie do Eksploatacji:
Użyteczne publiczne exploity:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Aby uzyskać więcej szczegółów, sprawdź post https://blog.hrncirik.net/cve-2023-46214-analysis
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)