Splunk LPE and Persistence
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Bir makineyi içten veya dıştan numaralandırırken Splunk çalışıyorsa (port 8090), şansınız varsa herhangi bir geçerli kimlik bilgisi biliyorsanız, Splunk hizmetini kötüye kullanarak Splunk'ı çalıştıran kullanıcı olarak bir shell çalıştırabilirsiniz. Eğer root çalışıyorsa, yetkileri root'a yükseltebilirsiniz.
Ayrıca eğer zaten root iseniz ve Splunk hizmeti yalnızca localhost'ta dinlemiyorsa, Splunk hizmetinden şifre dosyasını çalıp şifreleri kırabilir veya yeni kimlik bilgileri ekleyebilirsiniz. Ve host üzerinde sürekliliği sürdürebilirsiniz.
Aşağıdaki ilk resimde, bir Splunkd web sayfasının nasıl göründüğünü görebilirsiniz.
Daha fazla detay için https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/ gönderisini kontrol edin. Bu sadece bir özet:
İstismar Genel Bakış: Splunk Universal Forwarder Agent (UF) hedef alan bir istismar, ajan şifresine sahip saldırganların ajanı çalıştıran sistemlerde rastgele kod çalıştırmasına olanak tanır ve potansiyel olarak tüm bir ağı tehlikeye atabilir.
Ana Noktalar:
UF ajanı gelen bağlantıları veya kodun doğruluğunu doğrulamaz, bu da yetkisiz kod çalıştırmaya karşı savunmasız hale getirir.
Yaygın şifre edinme yöntemleri, bunları ağ dizinlerinde, dosya paylaşımlarında veya iç belgelerde bulmayı içerir.
Başarılı bir istismar, tehlikeye atılan hostlarda SYSTEM veya root düzeyinde erişim, veri sızdırma ve daha fazla ağ sızması ile sonuçlanabilir.
İstismar Uygulaması:
Saldırgan UF ajan şifresini elde eder.
Ajanlara komut veya betik göndermek için Splunk API'sini kullanır.
Olası eylemler arasında dosya çıkarma, kullanıcı hesabı manipülasyonu ve sistemin tehlikeye atılması yer alır.
Etkisi:
Her hostta SYSTEM/root düzeyinde izinlerle tam ağ tehlikesi.
Tespiti önlemek için günlük kaydını devre dışı bırakma potansiyeli.
Arka kapılar veya fidye yazılımları yükleme.
İstismar için Örnek Komut:
Kullanılabilir kamuya açık istismarlar:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Daha fazla detay için https://blog.hrncirik.net/cve-2023-46214-analysis gönderisini kontrol edin
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)