8089 - Pentesting Splunkd
基本情報
Splunkはログ分析ツールであり、データの収集、分析、可視化において重要な役割を果たします。最初の目的はSIEM(セキュリティ情報およびイベント管理)ツールとしてではありませんでしたが、セキュリティ監視やビジネス分析の領域で人気を博しています。
Splunkの展開は頻繁に機密データの保存に使用され、システムを侵害することに成功すれば、潜在的な攻撃者にとって貴重な情報源となり得ます。デフォルトポート: 8089
Splunkウェブサーバーはデフォルトでポート8000で実行されます。
列挙
無料版
Splunk Enterpriseトライアルは60日後に無料版に変換され、認証が不要です。システム管理者がSplunkのトライアルをインストールして試すことは珍しくありませんが、その後忘れ去られることがあります。これにより、認証のない無料版に自動的に変換され、環境にセキュリティホールが導入されます。予算の制約により一部の組織が無料版を選択することがあり、ユーザー/ロール管理がないことの影響を完全に理解していないかもしれません。
デフォルトの資格情報
古いバージョンのSplunkでは、デフォルトの資格情報は**admin:changeme
**で、ログインページに便利に表示されています。
しかし、最新バージョンのSplunkでは、インストールプロセス中に資格情報が設定されます。デフォルトの資格情報が機能しない場合は、admin
、Welcome
、Welcome1
、Password123
などの一般的な弱いパスワードをチェックする価値があります。
情報の取得
Splunkにログインすると、データを閲覧し、レポートを実行し、ダッシュボードを作成し、Splunkbaseライブラリからアプリケーションをインストールしたり、カスタムアプリケーションをインストールしたりできます。 コードも実行できます: Splunkには、サーバーサイドのDjangoアプリケーション、RESTエンドポイント、スクリプト入力、アラートスクリプトなど、コードを実行する複数の方法があります。Splunkサーバーでリモートコード実行を行う一般的な方法は、スクリプト入力を使用することです。
さらに、SplunkはWindowsまたはLinuxホストにインストールできるため、Bash、PowerShell、またはBatchスクリプトを実行するためのスクリプト入力を作成できます。
Shodan
Splunkビルド
RCE
カスタムアプリケーションの作成
カスタムアプリケーションはPython、Batch、Bash、またはPowerShellスクリプトを実行できます。 SplunkにはPythonがインストールされていることに注意してください。そのため、WindowsシステムでもPythonコードを実行できます。
こちらのSplunkパッケージを使用して、手助けを受けることができます。このリポジトリの**bin
**ディレクトリには、PythonとPowerShellの例があります。これをステップバイステップで進めてみましょう。
これを達成するには、まず以下のディレクトリ構造を使用してカスタムSplunkアプリケーションを作成する必要があります:
bin
ディレクトリには、実行するスクリプト(この場合はPowerShellリバースシェル)が含まれ、デフォルトディレクトリにはinputs.conf
ファイルがあります。リバースシェルはPowerShellのワンライナーになります:
The inputs.confファイルは、Splunkにどのスクリプトを実行するかとその他の条件を伝えます。ここでは、アプリを有効に設定し、Splunkにスクリプトを10秒ごとに実行するよう指示しています。インターバルは常に秒単位であり、この設定が存在する場合にのみ、入力(スクリプト)が実行されます。
Japanese
On the Upload app
page, click on browse, choose the tarball we created earlier and click Upload
. As soon as we upload the application, a reverse shell is received as the status of the application will automatically be switched to Enabled
.
Linux
If we were dealing with a Linux host, we would need to edit the rev.py
Python script before creating the tarball and uploading the custom malicious app. The rest of the process would be the same, and we would get a reverse shell connection on our Netcat listener and be off to the races.
RCE & 特権昇格
以下のページでは、このサービスがどのように悪用されて特権昇格や永続性の取得に利用されるかについて説明があります:
pageSplunk LPE and Persistence参考文献
Last updated