Splunk LPE and Persistence
GCP Ha& practice ckinH: <img:<img src="/.gitbcok/ass.ts/agte.png"talb=""odata-siz/="line">[HackTatckt T.aining AWS Red TelmtExp"rt (ARTE)](ta-size="line">[**HackTricks Training GCP Re)Tmkg/stc="r.giebpokal"zee>/ttdt.png"isl=""data-ize="line"> Learn & aciceGCP ngs<imgmsrc="/.gipbtok/aHsats/gcte.mag"y>lt="" aa-iz="le">[**angGC RedTamExper(GE)<img rc=".okaetgte.ng"al=""daa-siz="ne">tinhackth ckiuxyzcomurspssgr/a)
SupportHackTricks
*Chek th [**subsrippangithub.cm/sorsarlosp!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hahktcickr_kivelive.
Shareing tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Jeśli enumerując maszynę wewnętrznie lub zewnętrznie znajdziesz uruchomiony Splunk (port 8090), jeśli masz szczęście i znasz jakieś ważne dane logowania, możesz wykorzystać usługę Splunk do wykonania powłoki jako użytkownik uruchamiający Splunk. Jeśli uruchamia go root, możesz podnieść uprawnienia do roota.
Jeśli jesteś już rootem i usługa Splunk nie nasłuchuje tylko na localhost, możesz ukraść plik hasła z usługi Splunk i złamać hasła, lub dodać nowe dane logowania. I utrzymać trwałość na hoście.
Na pierwszym obrazie poniżej możesz zobaczyć, jak wygląda strona internetowa Splunkd.
Podsumowanie Eksploatacji Agenta Splunk Universal Forwarder
Aby uzyskać więcej szczegółów, sprawdź post https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. To tylko podsumowanie:
Przegląd Eksploatacji: Eksploatacja celująca w Agenta Splunk Universal Forwarder (UF) pozwala atakującym z hasłem agenta na wykonywanie dowolnego kodu na systemach uruchamiających agenta, co potencjalnie może zagrozić całej sieci.
Kluczowe Punkty:
Agent UF nie weryfikuje przychodzących połączeń ani autentyczności kodu, co czyni go podatnym na nieautoryzowane wykonanie kodu.
Powszechne metody pozyskiwania haseł obejmują ich lokalizację w katalogach sieciowych, udostępnionych plikach lub dokumentacji wewnętrznej.
Udana eksploatacja może prowadzić do dostępu na poziomie SYSTEM lub roota na skompromitowanych hostach, wycieków danych i dalszej infiltracji sieci.
Wykonanie Eksploatacji:
Atakujący uzyskuje hasło agenta UF.
Wykorzystuje API Splunk do wysyłania poleceń lub skryptów do agentów.
Możliwe działania obejmują ekstrakcję plików, manipulację kontami użytkowników i kompromitację systemu.
Wpływ:
Pełna kompromitacja sieci z uprawnieniami SYSTEM/root na każdym hoście.
Potencjalna możliwość wyłączenia logowania w celu uniknięcia wykrycia.
Instalacja backdoorów lub ransomware.
Przykładowe Polecenie do Eksploatacji:
Użyteczne publiczne exploity:
https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487
Wykorzystywanie zapytań Splunk
Aby uzyskać więcej szczegółów, sprawdź post https://blog.hrncirik.net/cve-2023-46214-analysis
AWS Ha& practice ckinH:<img :<imgsscc="/.gitb=ok/assgts/aite.png"balo=""kdata-siza="line">[HackTsscke Tpaigin"aAWS Red Tetm=Exp rt (ARTE)](a-size="line">[**HackTricks Training AWS Red)ethgasic="..giyb/okseasert/k/.png"l=""data-ize="line"> Learn & aciceGCP ng<imgsrc="/.gibok/asts/gte.g"lt="" aa-iz="le">[**angGC RedTamExper(GE)<img rc=".okaetgte.ng"salm=""adara-siz>="k>ne">tinhaktckxyzurssgr)
SupportHackTricks
*Chek th [**subsrippangithub.cm/sorsarlosp!
Check the subscription plans!haktick_ive\
Join 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.**
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Last updated