hacktricks/linux-hardening/privilege-escalation/logstash.md at c196b602697161f995b3e601584bbe2a7eb8805d

Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00

Translator 906544c9e3 Translated ['blockchain/blockchain-and-crypto-currencies/README.md', 'ge

2024-02-08 03:56:12 +00:00

4.5 KiB

Raw Blame History

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS Red Team Expert）！

其他支持HackTricks的方式：

如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
获取官方PEASS & HackTricks周边产品
探索PEASS家族，我们的独家NFTs
加入 💬 Discord群 或 电报群 或关注我的Twitter 🐦 @carlospolopm。
通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

Logstash

Logstash用于通过称为管道的系统收集、转换和分发日志。这些管道由输入、过滤器和输出阶段组成。当Logstash在受损的计算机上运行时，会出现一个有趣的方面。

管道配置

管道在文件**/etc/logstash/pipelines.yml**中进行配置，该文件列出了管道配置的位置：

# Define your pipelines here. Multiple pipelines can be defined.
# For details on multiple pipelines, refer to the documentation:
# https://www.elastic.co/guide/en/logstash/current/multiple-pipelines.html

- pipeline.id: main
path.config: "/etc/logstash/conf.d/*.conf"
- pipeline.id: example
path.config: "/usr/share/logstash/pipeline/1*.conf"
pipeline.workers: 6

这个文件揭示了包含管道配置的 .conf 文件的位置。在使用 Elasticsearch 输出模块 时，通常会在 pipelines 中包含 Elasticsearch 凭据，这些凭据通常具有广泛的权限，因为 Logstash 需要将数据写入 Elasticsearch。配置路径中的通配符允许 Logstash 执行指定目录中的所有匹配管道。

通过可写管道进行权限提升

要尝试权限提升，首先要确定 Logstash 服务正在运行的用户，通常是 logstash 用户。确保您满足以下一个条件之一：

拥有对管道 .conf 文件的 写入访问权限 或
/etc/logstash/pipelines.yml 文件使用通配符，并且您可以写入目标文件夹

此外，必须满足以下一个条件之一：

有能力重新启动 Logstash 服务或
/etc/logstash/logstash.yml 文件中设置了 config.reload.automatic: true

给定配置中的通配符，创建一个与此通配符匹配的文件允许执行命令。例如：

input {
exec {
command => "whoami"
interval => 120
}
}

output {
file {
path => "/tmp/output.log"
codec => rubydebug
}
}

在这里，interval 确定了以秒为单位的执行频率。在给定的示例中，whoami 命令每 120 秒运行一次，并将其输出重定向到 /tmp/output.log。

在 /etc/logstash/logstash.yml 中设置 config.reload.automatic: true，Logstash 将自动检测并应用新的或修改过的管道配置，无需重新启动。如果没有通配符，仍然可以对现有配置进行修改，但建议谨慎操作以避免中断。

参考资料

https://insinuator.net/2021/01/pentesting-the-elk-stack/

从零开始学习 AWS 黑客技术，成为专家 htARTE (HackTricks AWS Red Team Expert)!

支持 HackTricks 的其他方式：

如果您想在 HackTricks 中看到您的 公司广告 或 下载 PDF 版本的 HackTricks，请查看 SUBSCRIPTION PLANS!
获取 官方 PEASS & HackTricks 商品
探索 PEASS Family，我们的独家 NFTs
加入 💬 Discord 群组 或 电报群组 或关注我的 Twitter 🐦 @carlospolopm.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。

4.5 KiB Raw Blame History Unescape Escape

Logstash

管道配置

通过可写管道进行权限提升

参考资料

4.5 KiB

Raw Blame History