Splunk LPE and Persistence
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ako enumerišete mašinu interno ili eksterno i pronađete Splunk koji radi (port 8090), ako srećom znate neke validne akreditive možete zloupotrebiti Splunk servis da izvršite shell kao korisnik koji pokreće Splunk. Ako ga pokreće root, možete eskalirati privilegije na root.
Takođe, ako ste već root i Splunk servis ne sluša samo na localhost, možete ukrasti datoteku sa lozinkama iz Splunk servisa i provaliti lozinke, ili dodati nove akreditive. I održati persistenciju na hostu.
Na prvoj slici ispod možete videti kako izgleda Splunkd web stranica.
Za više detalja proverite post https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Ovo je samo sažetak:
Pregled Eksploatacije: Eksploatacija koja cilja Splunk Universal Forwarder Agenta (UF) omogućava napadačima sa lozinkom agenta da izvrše proizvoljan kod na sistemima koji pokreću agenta, potencijalno kompromitujući celu mrežu.
Ključne Tačke:
UF agent ne validira dolazne konekcije ili autentičnost koda, što ga čini ranjivim na neovlašćeno izvršavanje koda.
Uobičajene metode sticanja lozinki uključuju lociranje u mrežnim direktorijumima, deljenim datotekama ili internim dokumentima.
Uspešna eksploatacija može dovesti do pristupa na SISTEM ili root nivou na kompromitovanim hostovima, eksfiltraciju podataka i dalju infiltraciju u mrežu.
Izvršenje Eksploatacije:
Napadač dobija lozinku UF agenta.
Koristi Splunk API za slanje komandi ili skripti agentima.
Moguće akcije uključuju ekstrakciju datoteka, manipulaciju korisničkim nalozima i kompromitaciju sistema.
Uticaj:
Potpuna kompromitacija mreže sa SISTEM/root nivoom dozvola na svakom hostu.
Potencijal za onemogućavanje logovanja kako bi se izbegla detekcija.
Instalacija backdoora ili ransomware-a.
Primer Komande za Eksploataciju:
Iskoristivi javni eksploati:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Za više detalja pogledajte post https://blog.hrncirik.net/cve-2023-46214-analysis
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)