Splunk LPE and Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Якщо ви перераховуєте машину всередині або ззовні і знаходите запущений Splunk (порт 8090), якщо вам пощастить знати будь-які дійсні облікові дані, ви можете зловживати сервісом Splunk для виконання оболонки від імені користувача, який запускає Splunk. Якщо його запускає root, ви можете підвищити привілеї до root.
Також, якщо ви вже root і сервіс Splunk не слухає лише на localhost, ви можете вкрасти файл паролів з сервісу Splunk і зламати паролі, або додати нові облікові дані до нього. І підтримувати стійкість на хості.
На першому зображенні нижче ви можете побачити, як виглядає веб-сторінка Splunkd.
Для отримання додаткових деталей перегляньте пост https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Це лише резюме:
Огляд експлуатації: Експлуатація, що націлена на агент Splunk Universal Forwarder (UF), дозволяє зловмисникам з паролем агента виконувати довільний код на системах, що запускають агента, потенційно компрометуючи всю мережу.
Ключові моменти:
Агент UF не перевіряє вхідні з'єднання або автентичність коду, що робить його вразливим до несанкціонованого виконання коду.
Загальні методи отримання паролів включають їх знаходження в мережевих каталогах, файлових спільних ресурсах або внутрішній документації.
Успішна експлуатація може призвести до доступу на рівні SYSTEM або root на скомпрометованих хостах, ексфільтрації даних та подальшого проникнення в мережу.
Виконання експлуатації:
Зловмисник отримує пароль агента UF.
Використовує API Splunk для відправки команд або скриптів агентам.
Можливі дії включають витяг файлів, маніпуляцію обліковими записами користувачів та компрометацію системи.
Вплив:
Повна компрометація мережі з дозволами на рівні SYSTEM/root на кожному хості.
Потенціал для відключення ведення журналів, щоб уникнути виявлення.
Встановлення бекдорів або програм-вимагачів.
Приклад команди для експлуатації:
Використовувані публічні експлойти:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Для отримання додаткової інформації перегляньте пост https://blog.hrncirik.net/cve-2023-46214-analysis
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)