From 3b1f44158970c0d9cd35f8b773563a3494fe2dec Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 10 Aug 2025 18:33:45 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-web/microsoft-sh --- .../pentesting-web/microsoft-sharepoint.md | 66 +++++++++++++++++-- 1 file changed, 59 insertions(+), 7 deletions(-) diff --git a/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md b/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md index 90c775de7..4ac9643fe 100644 --- a/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md +++ b/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md @@ -2,7 +2,7 @@ {{#include ../../banners/hacktricks-training.md}} -> Microsoft SharePoint (on-premises) is gebou op ASP.NET/IIS. Die meeste van die klassieke web-aanvaloppervlak (ViewState, Web.Config, web shells, ens.) is dus teenwoordig, maar SharePoint kom ook met honderde eie ASPX-bladsye en webdienste wat die blootgestelde aanvaloppervlak dramaties vergroot. Hierdie bladsy versamel praktiese truuks om te tel, te benut en volhard in SharePoint-omgewings met klem op die 2025-uitbuitingsketting wat deur Unit42 bekend gemaak is (CVE-2025-49704/49706/53770/53771). +> Microsoft SharePoint (on-premises) is gebou op ASP.NET/IIS. Die meeste van die klassieke web-aanvaloppervlak (ViewState, Web.Config, web shells, ens.) is dus teenwoordig, maar SharePoint kom ook met honderde eie ASPX-bladsye en webdienste wat die blootgestelde aanvaloppervlak dramaties vergroot. Hierdie bladsy versamel praktiese truuks om te tel, te benut en volharding binne SharePoint-omgewings te bewerkstellig met klem op die 2025-uitbuitingsketting wat deur Unit42 bekend gemaak is (CVE-2025-49704/49706/53770/53771). ## 1. Quick enumeration ``` @@ -33,7 +33,7 @@ Dieselfde bladsy vertrou die **X-Forms_BaseUrl** kop om die webwerf konteks te b ### 2.3 CVE-2025-53770 – Onverifieerde ViewState Deserialisering → RCE -Sodra die aanvaller 'n gadget in `ToolPane.aspx` beheer, kan hulle 'n **ongetekende** (of slegs MAC) `__VIEWSTATE` waarde plaas wat .NET deserialisering binne *w3wp.exe* aktiveer wat lei tot kode-uitvoering. +Sodra die aanvaller 'n gadget in `ToolPane.aspx` beheer, kan hulle 'n **ongetekende** (of MAC-slegs) `__VIEWSTATE` waarde plaas wat .NET deserialisering binne *w3wp.exe* aktiveer wat lei tot kode-uitvoering. As ondertekening geaktiveer is, steel die **ValidationKey/DecryptionKey** van enige `web.config` (sien 2.4) en vervals die payload met *ysoserial.net* of *ysodom*: ``` @@ -47,12 +47,12 @@ Vir 'n diepgaande verduideliking oor die misbruik van ASP.NET ViewState, lees: ### 2.4 CVE-2025-53771 – Pad Traversal / web.config Ontsluiting -Deur 'n vervaardigde `Source` parameter na `ToolPane.aspx` te stuur (bv. `../../../../web.config`) keer die geteikende lêer terug, wat die lekkasie van die volgende toelaat: +Deur 'n vervaardigde `Source` parameter na `ToolPane.aspx` te stuur (bv. `../../../../web.config`), word die geteikende lêer teruggestuur, wat die lekkasie van die volgende toelaat: * `` ➜ vervals ViewState / ASPXAUTH koekies * verbindsstrings & geheime. -## 3. Post-exploitasie resepte waargeneem in die natuur +## 3. Post-exploitatie resepte waargeneem in die natuur ### 3.1 Exfiltreer elke *.config* lêer (variasie-1) ``` @@ -79,7 +79,7 @@ Geschryf vir: ``` C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx ``` -Die skulp bied eindpunte om **te lees / draai masjien sleutels** wat die vervalsing van ViewState en ASPXAUTH koekies oor die plaas toelaat. +Die skulp bied eindpunte om **te lees / draai masjien sleutels** wat die vervalsing van ViewState en ASPXAUTH koekies oor die plaas moontlik maak. ### 3.3 Obfuscated variasie (variasie-3) @@ -88,11 +88,62 @@ Dieselfde skulp maar: * veranderlike name verminder tot enkele letters * `Thread.Sleep()` bygevoeg vir sandbox-ontvlugting & tyd-gebaseerde AV omseiling. +### 3.4 AK47C2 multi-protokol agterdeur & X2ANYLOCK ransomware (waargeneem 2025-2026) + +Onlangse insident-respons ondersoeke (Unit42 “Project AK47”) toon hoe aanvallers die ToolShell ketting **na aanvanklike RCE** benut om 'n dubbel-kanaal C2 implantaat en ransomware in SharePoint omgewings te ontplooi: + +#### AK47C2 – `dnsclient` variasie + +* Hard-gecodeerde DNS bediener: `10.7.66.10` wat kommunikeer met die gesaghebbende domein `update.updatemicfosoft.com`. +* Boodskappe is JSON-objekte XOR-geënkripteer met die statiese sleutel `VHBD@H`, hex-gekodeer en ingebed as **sub-domein etikette**. + +```json +{"cmd":"","cmd_id":""} +``` + +* Lang navrae word in stukke verdeel en met `s` voorafgegaan, dan weer saamgestel aan die bediener kant. +* Bediener antwoord in TXT rekords wat dieselfde XOR/hex skema dra: + +```json +{"cmd":"","cmd_id":"","type":"result","fqdn":"","result":""} +``` +* Weergawe 202504 het 'n vereenvoudigde formaat `::` en stuk merkers `1`, `2`, `a` bekendgestel. + +#### AK47C2 – `httpclient` variasie + +* Hergebruik die presies dieselfde JSON & XOR roetine maar stuur die hex blob in die **HTTP POST liggaam** via `libcurl` (`CURLOPT_POSTFIELDS`, ens.). +* Dieselfde taak/resultaat werkvloei wat toelaat: +* Arbitraire skulp opdrag uitvoering. +* Dinamiese slaap interval en kill-switch instruksies. + +#### X2ANYLOCK ransomware + +* 64-bit C++ payload gelaai deur DLL kant-laai (sien hieronder). +* Gebruik AES-CBC vir lêer data + RSA-2048 om die AES sleutel te verpak, dan voeg die uitbreiding `.x2anylock` by. +* Herhaaldelik plaaslike skywe en ontdekte SMB deeljies enkripteer; slaat stelselpaaie oor. +* Laat 'n duidelike teksnota `How to decrypt my data.txt` agter wat 'n statiese **Tox ID** vir onderhandelinge insluit. +* Bevat 'n interne **kill-switch**: + +```c +if (file_mod_time >= "2026-06-06") exit(0); +``` + +#### DLL kant-laai ketting + +1. Aanvaller skryf `dllhijacked.dll`/`My7zdllhijacked.dll` langs 'n wettige `7z.exe`. +2. SharePoint-geboorte `w3wp.exe` begin `7z.exe`, wat die kwaadwillige DLL laai as gevolg van Windows soekorde, wat die ransomware ingangspunt in geheue aanroep. +3. 'n Afsonderlike LockBit laaier waargeneem (`bbb.msi` ➜ `clink_x86.exe` ➜ `clink_dll_x86.dll`) dekripteer skulp-kode en voer **DLL holing** in `d3dl1.dll` uit om LockBit 3.0 te laat loop. + +> [!INFO] +> Dieselfde statiese Tox ID wat in X2ANYLOCK gevind is, verskyn in gelekte LockBit databasisse, wat 'n ooreenkoms tussen vennote voorstel. + +--- + ## 4. Opsporing idees | Telemetrie | Waarom dit verdag is | -|------------|----------------------| -| `w3wp.exe → cmd.exe` | Werkersproses behoort selde 'n skulp te spawn | +|-----------|----------------------| +| `w3wp.exe → cmd.exe` | Werknemer proses behoort selde 'n skulp te genereer | | `cmd.exe → powershell.exe -EncodedCommand` | Klassieke lolbin patroon | | Lêer gebeurtenisse wat `debug_dev.js` of `spinstall0.aspx` skep | IOCs regstreeks van ToolShell | | `ProcessCmdLine BEVAT ToolPane.aspx` (ETW/Module logs) | Publieke PoCs roep hierdie bladsy aan | @@ -121,6 +172,7 @@ proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powers - [Unit42 – Aktiewe Exploitatie van Microsoft SharePoint Kw vulnerabilities](https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/) - [GitHub PoC – ToolShell exploit ketting](https://github.com/real-or-not/ToolShell) - [Microsoft Sekuriteitsadvies – CVE-2025-49704 / 49706](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-49704) +- [Unit42 – Projek AK47 / SharePoint Exploitatie & Ransomware Aktiwiteit](https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/) - [Microsoft Sekuriteitsadvies – CVE-2025-53770 / 53771](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-53770) {{#include ../../banners/hacktricks-training.md}}