Splunk LPE and Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ikiwa unafanya orodha ya mashine ndani au nje na unapata Splunk inafanya kazi (port 8090), ikiwa kwa bahati unajua akili halali unaweza kutumia huduma ya Splunk ili kufanya shell kama mtumiaji anayekimbia Splunk. Ikiwa root inakimbia, unaweza kuongeza mamlaka hadi root.
Pia ikiwa wewe ni tayari root na huduma ya Splunk haisikii tu kwenye localhost, unaweza kuiba faili ya nenosiri kutoka kwa huduma ya Splunk na kuvunja nenosiri, au kuongeza akili mpya kwake. Na kudumisha uthabiti kwenye mwenyeji.
Katika picha ya kwanza hapa chini unaweza kuona jinsi ukurasa wa Splunkd unavyoonekana.
Kwa maelezo zaidi angalia chapisho https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Hii ni muhtasari tu:
Muhtasari wa Ulaghai: Ulaghai unaolenga Splunk Universal Forwarder Agent (UF) unaruhusu washambuliaji wenye nenosiri la wakala kutekeleza msimbo wa kiholela kwenye mifumo inayokimbia wakala, ambayo inaweza kuhatarisha mtandao mzima.
Mambo Muhimu:
Wakala wa UF hauhakiki muunganisho unaokuja au uhalali wa msimbo, hivyo unafanya kuwa hatari kwa utekelezaji wa msimbo usioidhinishwa.
Njia za kawaida za kupata nenosiri ni pamoja na kuzitafuta kwenye saraka za mtandao, kushiriki faili, au nyaraka za ndani.
Ulaghai uliofanikiwa unaweza kusababisha ufikiaji wa kiwango cha SYSTEM au root kwenye mwenyeji walioathirika, kuhamasisha data, na kuingia zaidi kwenye mtandao.
Utekelezaji wa Ulaghai:
Mshambuliaji anapata nenosiri la wakala wa UF.
Anatumia API ya Splunk kutuma amri au skripti kwa wakala.
Vitendo vinavyowezekana ni pamoja na uchimbaji wa faili, usimamizi wa akaunti za watumiaji, na kuathiri mfumo.
Athari:
Kuathiri mtandao mzima kwa ruhusa za kiwango cha SYSTEM/root kwenye kila mwenyeji.
Uwezekano wa kuzima uandishi wa kumbukumbu ili kuepuka kugundulika.
Usanidi wa milango ya nyuma au ransomware.
Amri ya Mfano kwa Ulaghai:
Matukio ya umma yanayoweza kutumika:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Kwa maelezo zaidi angalia chapisho https://blog.hrncirik.net/cve-2023-46214-analysis
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)