【漏洞复现-splunk-信息泄露】vulfocus/splunk-cve_2018_11409

最新推荐文章于 2024-11-20 10:16:29 发布
最新推荐文章于 2024-11-20 10:16:29 发布
阅读量2.7k 收藏 12
点赞数 2
分类专栏: 0X06【漏洞复现】 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53079406/article/details/127338800
版权
本文介绍在Vulfocus平台上针对Splunk 7.0.1及之前版本的安全漏洞进行分析的过程。通过两种方法验证漏洞,一是利用平台功能直接获取敏感信息,二是使用CVE提供的POC进行远程信息泄露。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

一、靶场环境

1.1、平台:

1.2、知识:

1.3、描述:

二、漏洞验证

2.1、分析:

一、靶场环境

1.1、平台:

Vulfocus 漏洞威胁分析平台

123.58.224.8:56459

123.58.224.8:50009

123.58.224.8:27643

123.58.224.8:50147

 123.58.224.8:50009

admin/changeme

 然后需要改密码

选择默认的最下面一项

点击取消

 

然后就进入到主页面

 

1.2、知识:

1、测试页面的功能点

(此题的解题属于是有点大无语事件)

2、寻找未验证的接口

1.3、描述:

Splunk 7.0.1及之前版本中存在安全漏洞。攻击者可通过将__raw/services/server/info/server-info?output_mode=json添加到查询中利用该漏洞泄露信息

二、漏洞验证

2.1、分析:

方法一:

第一步肯定都是测试功能点

设置 -----> 添加数据

 监视 -----> 文件和目录------>浏览

 然后就可以读取到文件目录了

就get到了flag

 

方法二:

CVE给出的POC

http://ip:port/en-US/splunkd/__raw/services/server/info/server-info?output_mode=json

Splunk Enterprise for Windows 未授权任意文件读取漏洞复现(CVE-2024-36991)
0xSec
07-06 810
Splunk Enterprise for Windows 版本中,使用Python内置的 os.path.join 函数拼接路径时,若路径组件中的磁盘驱动器号与已构建路径中的驱动器号相同则会移除该驱动器号,导致 /modules/messaging/ 端点存在路径遍历漏洞,未授权的攻击者可利用该漏洞读取任意文件,使系统处于极不安全的状态。
CVE-2024-36991:Splunk Enterprise任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-09 498
Splunk Enterprise 任意文件读取漏洞(CVE-2024-36991) 在互联网上公开,在特定版本的 Windows 版 Splunk Enterprise 中,未经身份认证的攻击者可以在 /modules/messaging/ 接口通过目录穿越的方式读取任意文件,造成用户信息的泄露。目前该漏洞技术细节与EXP已在互联网上公开,鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
vulfocus在线靶场:CVE_2018_11409 速通手册
最新发布
m0_47484034的博客
11-20 370
vulfocus在线靶场:CVE_2018_11409 速通手册
漏洞复现-Splunk Enterprise for Windows 未授权任意文件读取漏洞(CVE-2024-36991)
玄道的网安博客
08-13 503
受影响的 Splunk Enterprise for Windows 版本中,使用 Python 内置的 os.path.join 函数拼接路径时,若路径组件中的磁盘驱动器号与已构建路径中的驱动器号相同则会移除该驱动器号,导致 /modules/messaging/ 端点存在路径遍历漏洞,未授权的攻击者可利用该漏洞读取任意文件。是一个机器数据引擎,用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据。将组件 splunk 升级至最新版本。
splunk-信息泄露(cve_2018_11409)
m0_65150886的博客
01-02 922
7.0.1及之前版本中存在安全漏洞。攻击者可通过将__raw/services/server/info/server-info?output_mode=json添加到查询中利用该漏洞泄露信息。设置 -----> 添加数据。3.选择默认的最下面一项。1.访问ip:port。2.登陆后,修改密码。
漏洞复现Splunk Enterprise for Windows 任意文件读取漏洞 CVE-2024-36991
weixin_54799594的博客
07-12 1029
漏洞复现过程记录
Splunk Enterprise远程代码执行漏洞(CVE-2022-43571)安全风险通告
smellycat000的专栏
12-22 2283
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告Splunk Enterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。近日,奇安信CERT监测到Splunk Enterprise中存在远程代码执行漏洞(CVE-2022-4...
Splunk Enterprise 存在任意代码执行漏洞
OSCS开源安全社区
12-23 1532
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Splunk 受影响版本存在任意代码执行漏洞,经过身份验证的攻击者可利用此漏洞通过创建包含恶意代码的 SimpleXML 仪表板(dashboard),进而在操作仪表板生成 PDF 时远程执行恶意代码。Splunk 是一款机器数据的引擎,可用于收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。该漏洞已存在 POC。
Splunk-Defensive-Analysis:具有三个相关CVESplunk软件报告
05-04
关于通过进行数据管理的科学论文,其中包括三个相关的CVE漏洞分析,旨在强调Splunk的可靠性。 该项目是作为意大利卡塔尼亚大学的互联网安全关系进行的。 请阅读文档(意大利语) CVE详细信息 此报告处理以下CVE漏洞...
hafnium-exchange-splunk-csvs:得益于Volexity和MS的信息,IOC发现利用CVE-2021-26855
03-03
由Volexity和Microsoft提供的用于利用CVE-2021-26855的IOC(IP地址,Web Shell .aspx文件的哈希值,.aspx文件的名称,用户代理)。 请参阅和 将这些用作Splunk中的查找表,以进行简单的IOC匹配。 注意:如果要在...
Splunk Enterprise 中的严重漏洞允许远程执行代码
网络研究观
07-07 2006
这些更新解决了几个构成重大安全风险的关键漏洞,包括远程代码执行 (RCE) 的可能性。
漏洞复现Splunk Enterprise 任意文件读取漏洞(CVE-2024-36991)
今天是几号的博客
07-08 1347
Splunk Enterprise 是一款强大的机器数据管理和分析平台,能够实时收集、索引、搜索、分析和可视化来自各种数据源的日志和数据,帮助企业提升运营效率、增强安全性和优化业务决策。漏洞名称Splunk Enterprise 任意文件读取漏洞漏洞编号公开时间2024-07-01威胁类型信息泄漏。
Splunk 修补关键漏洞,包括远程代码执行漏洞
weixin_51705943的博客
10-16 1119
领先的数据分析和安全监控平台 Splunk 发布了一系列安全更新,以解决 Splunk Enterprise 和 Splunk Cloud Platform 中的多个漏洞。这些漏洞的严重程度不一,有些可实现远程代码执行(RCE),有些则允许低权限用户访问敏感信息。
漏洞复现Splunk Enterprise——messaging——任意文件读取
LongL_GuYu的博客
07-13 494
Splunk Enterprise是一款功能强大的数据分析引擎,旨在从所有IT系统和基础设施数据中提供数据搜索、报表和可视化展现。其`messaging`接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件。
Goby 漏洞发布|Splunk Enterprise XSLT 命令执行漏洞CVE-2023-46214)
m0_46699477的博客
11-26 619
Splunk Enterprise 是美国 Splunk 公司的一套数据收集分析软件。该软件主要用于收集、索引和分析及其所产生的数据,包括所有IT系统和基础结构(物理、虚拟机和云)生成的数据。Splunk Enterprise 存在命令执行漏洞,该漏洞源于不会安全地清理用户提供的可扩展样式表语言转换 (XSLT),攻击者利用该漏洞可以上传恶意 XSLT,从而在 Splunk Enterprise 实例上远程执行命令。
复现 Splunk 框架中的账户异常登录检测案例
qq798280904的博客
03-26 484
海外老牌的数据平台,数据收集、管理、分析、自动化、检测、响应、编排,主要面向安全业务。在 2022 年 Gartner® 安全信息和事件管理 (SIEM) 魔力象限™ 中,Splunk 连续第九年被评为“领导者”。Gartner® 将 SIEM 市场定义为支持用例,包括威胁检测、合规性、实时遥测、事件分析和事件调查全球成千上万的组织依靠 Splunk 作为其 SIEM 来获取数据驱动的见解,从而保护他们的业务并降低风险。
Splunk 修复企业产品中的多个高危漏洞
smellycat000的专栏
07-03 230
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周一,Splunk 宣布修复 Splunk Enterprise 和 Cloud Platform 上的16个漏洞,其中包括6个高危漏洞。其中3个是高危的远程代码执行漏洞,需要认证才能成功利用。第1个漏洞CVE-2024-36985,可被低权限用户通过可能引用 “splunk_archiver” 应用的查询利用。该漏洞影响 Splunk En...
将Burp Scanner漏洞结果转换为Splunk事件
weixin_33895604的博客
09-14 163
本文讲的是将Burp Scanner漏洞结果转换为Splunk事件, 介绍 Splunk是一个功能齐全,功能强大的平台,用于收集,搜索,监控和分析机器数据。它被安全运营中心(SOC)团队广泛使用,提供高级安全事件监控,威胁分析,事件响应和网络威胁管理。 Burp Suite是世界各地安全分析人员使用的必备Web应用程序攻击代理工具,用于对Web应用程序...
Vulfocus靶场漏洞复现系列—1
tlovejr的博客
03-02 6364
文章目录 前言 一、pandas是什么? 二、使用步骤 总结 前言 接下来会给大家介绍一些最常见的复现漏洞过程,我所用的是Vulfocus靶场,靶场安装方法已经在上一篇文章讲过,大家可以自行去观看。如果大家想及时获取最新漏洞消息,大家可以直接cnvdhttps://www.cnvd.org.cn/去查看即可,小白入门,如果在博客中有什么错误,还请各位大佬指出。 一、Drupal远程代码执行漏(CVE-2019-6340) 1、漏洞介绍 Drupal官方之前更新了一个非常关键的安全补丁,
vim-splunk:为Splunk配置文件提供Vim语法高亮
根据提供的文件信息,我们可以生成以下知识点: 1. **Vim编辑器与语法高亮**: - Vim是Linux和Unix系统中常用的文本编辑器,以其强大的功能和高效的编辑操作著称。 - 语法高亮是Vim的一大特性,它可以通过不同的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值