Logstash
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Logstash se koristi za prikupljanje, transformaciju i slanje logova kroz sistem poznat kao pipelines. Ove pipelines se sastoje od input, filter i output faza. Zanimljiv aspekt se javlja kada Logstash radi na kompromitovanoj mašini.
Pipelines se konfigurišu u datoteci /etc/logstash/pipelines.yml, koja navodi lokacije konfiguracija pipeline-a:
Ovaj fajl otkriva gde se nalaze .conf fajlovi koji sadrže konfiguracije pipeline-a. Kada se koristi Elasticsearch output module, uobičajeno je da pipelines uključuju Elasticsearch kredencijale, koji često imaju opsežne privilegije zbog potrebe Logstash-a da piše podatke u Elasticsearch. Wildcard-ovi u konfiguracionim putanjama omogućavaju Logstash-u da izvrši sve odgovarajuće pipeline-ove u određenom direktorijumu.
Da biste pokušali eskalaciju privilegija, prvo identifikujte korisnika pod kojim Logstash servis radi, obično korisnika logstash. Uverite se da ispunjavate jedan od ovih kriterijuma:
Imate pristup za pisanje u .conf fajl pipeline-a ili
Fajl /etc/logstash/pipelines.yml koristi wildcard, i možete pisati u ciljni folder
Pored toga, jedan od ovih uslova mora biti ispunjen:
Mogućnost ponovnog pokretanja Logstash servisa ili
Fajl /etc/logstash/logstash.yml ima postavljeno config.reload.automatic: true
S obzirom na wildcard u konfiguraciji, kreiranje fajla koji odgovara ovom wildcard-u omogućava izvršavanje komandi. Na primer:
Ovde, interval određuje učestalost izvršavanja u sekundama. U datom primeru, whoami komanda se izvršava svake 120 sekundi, a njen izlaz se usmerava u /tmp/output.log.
Sa config.reload.automatic: true u /etc/logstash/logstash.yml, Logstash će automatski otkriti i primeniti nove ili izmenjene konfiguracije cevi bez potrebe za ponovnim pokretanjem. Ako nema džokera, izmene se i dalje mogu praviti na postojećim konfiguracijama, ali se savetuje oprez kako bi se izbegle smetnje.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)