5.1 KiB
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.
Logstash
Logstash word gebruik om logs te versamel, transformeer en versprei deur 'n stelsel wat bekend staan as pipelines. Hierdie pipelines bestaan uit invoer, filter en uitvoer fases. 'n Interessante aspek ontstaan wanneer Logstash op 'n gekompromitteerde masjien werk.
Pipeline-konfigurasie
Pipelines word gekonfigureer in die lêer /etc/logstash/pipelines.yml, wat die plekke van die pipeline-konfigurasies lys:
# Define your pipelines here. Multiple pipelines can be defined.
# For details on multiple pipelines, refer to the documentation:
# https://www.elastic.co/guide/en/logstash/current/multiple-pipelines.html
- pipeline.id: main
path.config: "/etc/logstash/conf.d/*.conf"
- pipeline.id: example
path.config: "/usr/share/logstash/pipeline/1*.conf"
pipeline.workers: 6
Hierdie lêer onthul waar die .conf lêers, wat pyplynkonfigurasies bevat, geleë is. Wanneer 'n Elasticsearch uitsetmodule gebruik word, is dit algemeen dat pyplyne Elasticsearch-legitimasie insluit, wat dikwels uitgebreide voorregte het as gevolg van Logstash se behoefte om data na Elasticsearch te skryf. Wildcards in konfigurasiepaaie stel Logstash in staat om alle ooreenstemmende pyplyne in die aangewese gids uit te voer.
Voorregverhoging deur Skryfbare Pyplyne
Om voorregverhoging te probeer, identifiseer eers die gebruiker waaronder die Logstash-diens gewoonlik loop, tipies die logstash-gebruiker. Maak seker dat jy aan een van hierdie kriteria voldoen:
- Besit skryftoegang tot 'n pyplyn .conf lêer of
- Die /etc/logstash/pipelines.yml lêer gebruik 'n wildcard, en jy kan na die teikengids skryf
Daarbenewens moet een van hierdie voorwaardes vervul word:
- Die vermoë om die Logstash-diens te herlaai of
- Die /etc/logstash/logstash.yml lêer het config.reload.automatic: true ingestel
Met 'n wildcard in die konfigurasie, maak dit moontlik om 'n lêer te skep wat ooreenstem met hierdie wildcard en sodoende opdraguitvoering toe te laat. Byvoorbeeld:
input {
exec {
command => "whoami"
interval => 120
}
}
output {
file {
path => "/tmp/output.log"
codec => rubydebug
}
}
Hier bepaal interval die uitvoeringsfrekwensie in sekondes. In die gegewe voorbeeld word die whoami-opdrag elke 120 sekondes uitgevoer, met die uitvoer wat na /tmp/output.log gerig word.
Met config.reload.automatic: true in /etc/logstash/logstash.yml, sal Logstash outomaties nuwe of gewysigde pyplynkonfigurasies opspoor en toepas sonder om 'n herlaaiing te benodig. As daar geen wildcards is nie, kan wysigings steeds aangebring word aan bestaande konfigurasies, maar voorsoorsigtigheid word aanbeveel om ontwrigting te voorkom.
Verwysings
Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die SUBSCRIPTION PLANS!
- Kry die amptelike PEASS & HackTricks-uitrusting
- Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslagplekke.