Translated ['src/network-services-pentesting/pentesting-web/microsoft-sh

2025-10-10 18:36:50 +00:00 · 2025-08-10 18:33:45 +00:00 · 2025-08-10 18:33:45 +00:00 · 3b1f441589
commit 3b1f441589
parent 0305491688
1 changed files with 59 additions and 7 deletions
--- a/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md
+++ b/src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md
@ -2,7 +2,7 @@
 {{#include ../../banners/hacktricks-training.md}}
-> Microsoft SharePoint (on-premises) is gebou op ASP.NET/IIS. Die meeste van die klassieke web-aanvaloppervlak (ViewState, Web.Config, web shells, ens.) is dus teenwoordig, maar SharePoint kom ook met honderde eie ASPX-bladsye en webdienste wat die blootgestelde aanvaloppervlak dramaties vergroot. Hierdie bladsy versamel praktiese truuks om te tel, te benut en volhard in SharePoint-omgewings met klem op die 2025-uitbuitingsketting wat deur Unit42 bekend gemaak is (CVE-2025-49704/49706/53770/53771).
+> Microsoft SharePoint (on-premises) is gebou op ASP.NET/IIS. Die meeste van die klassieke web-aanvaloppervlak (ViewState, Web.Config, web shells, ens.) is dus teenwoordig, maar SharePoint kom ook met honderde eie ASPX-bladsye en webdienste wat die blootgestelde aanvaloppervlak dramaties vergroot. Hierdie bladsy versamel praktiese truuks om te tel, te benut en volharding binne SharePoint-omgewings te bewerkstellig met klem op die 2025-uitbuitingsketting wat deur Unit42 bekend gemaak is (CVE-2025-49704/49706/53770/53771).
 ## 1. Quick enumeration
 ```
@ -33,7 +33,7 @@ Dieselfde bladsy vertrou die **X-Forms_BaseUrl** kop om die webwerf konteks te b
 ### 2.3 CVE-2025-53770 – Onverifieerde ViewState Deserialisering → RCE
-Sodra die aanvaller 'n gadget in `ToolPane.aspx` beheer, kan hulle 'n **ongetekende** (of slegs MAC) `__VIEWSTATE` waarde plaas wat .NET deserialisering binne *w3wp.exe* aktiveer wat lei tot kode-uitvoering.
+Sodra die aanvaller 'n gadget in `ToolPane.aspx` beheer, kan hulle 'n **ongetekende** (of MAC-slegs) `__VIEWSTATE` waarde plaas wat .NET deserialisering binne *w3wp.exe* aktiveer wat lei tot kode-uitvoering.
 As ondertekening geaktiveer is, steel die **ValidationKey/DecryptionKey** van enige `web.config` (sien 2.4) en vervals die payload met *ysoserial.net* of *ysodom*:
 ```
@ -47,12 +47,12 @@ Vir 'n diepgaande verduideliking oor die misbruik van ASP.NET ViewState, lees:
 ### 2.4 CVE-2025-53771 – Pad Traversal / web.config Ontsluiting
-Deur 'n vervaardigde `Source` parameter na `ToolPane.aspx` te stuur (bv. `../../../../web.config`) keer die geteikende lêer terug, wat die lekkasie van die volgende toelaat:
+Deur 'n vervaardigde `Source` parameter na `ToolPane.aspx` te stuur (bv. `../../../../web.config`), word die geteikende lêer teruggestuur, wat die lekkasie van die volgende toelaat:
 * `<machineKey validationKey="…" decryptionKey="…">`  ➜ vervals ViewState / ASPXAUTH koekies
 * verbindsstrings & geheime.
-## 3. Post-exploitasie resepte waargeneem in die natuur
+## 3. Post-exploitatie resepte waargeneem in die natuur
 ### 3.1 Exfiltreer elke *.config* lêer (variasie-1)
 ```
@ -79,7 +79,7 @@ Geschryf vir:
 ```
 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx
 ```
-Die skulp bied eindpunte om **te lees / draai masjien sleutels** wat die vervalsing van ViewState en ASPXAUTH koekies oor die plaas toelaat.
+Die skulp bied eindpunte om **te lees / draai masjien sleutels** wat die vervalsing van ViewState en ASPXAUTH koekies oor die plaas moontlik maak.
 ### 3.3 Obfuscated variasie (variasie-3)
@ -88,11 +88,62 @@ Dieselfde skulp maar:
 * veranderlike name verminder tot enkele letters
 * `Thread.Sleep(<ms>)` bygevoeg vir sandbox-ontvlugting & tyd-gebaseerde AV omseiling.
 ### 3.4 AK47C2 multi-protokol agterdeur & X2ANYLOCK ransomware (waargeneem 2025-2026)
 Onlangse insident-respons ondersoeke (Unit42 “Project AK47”) toon hoe aanvallers die ToolShell ketting **na aanvanklike RCE** benut om 'n dubbel-kanaal C2 implantaat en ransomware in SharePoint omgewings te ontplooi:
 #### AK47C2 – `dnsclient` variasie
 * Hard-gecodeerde DNS bediener: `10.7.66.10` wat kommunikeer met die gesaghebbende domein `update.updatemicfosoft.com`.
 * Boodskappe is JSON-objekte XOR-geënkripteer met die statiese sleutel `VHBD@H`, hex-gekodeer en ingebed as **sub-domein etikette**.
 ```json
 {"cmd":"<COMMAND>","cmd_id":"<ID>"}
 ```
 * Lang navrae word in stukke verdeel en met `s` voorafgegaan, dan weer saamgestel aan die bediener kant.
 * Bediener antwoord in TXT rekords wat dieselfde XOR/hex skema dra:
 ```json
 {"cmd":"<COMMAND>","cmd_id":"<ID>","type":"result","fqdn":"<HOST>","result":"<OUTPUT>"}
 ```
 * Weergawe 202504 het 'n vereenvoudigde formaat `<COMMAND>::<SESSION_KEY>` en stuk merkers `1`, `2`, `a` bekendgestel.
 #### AK47C2 – `httpclient` variasie
 * Hergebruik die presies dieselfde JSON & XOR roetine maar stuur die hex blob in die **HTTP POST liggaam** via `libcurl` (`CURLOPT_POSTFIELDS`, ens.).
 * Dieselfde taak/resultaat werkvloei wat toelaat:
 * Arbitraire skulp opdrag uitvoering.
 * Dinamiese slaap interval en kill-switch instruksies.
 #### X2ANYLOCK ransomware
 * 64-bit C++ payload gelaai deur DLL kant-laai (sien hieronder).
 * Gebruik AES-CBC vir lêer data + RSA-2048 om die AES sleutel te verpak, dan voeg die uitbreiding `.x2anylock` by.
 * Herhaaldelik plaaslike skywe en ontdekte SMB deeljies enkripteer; slaat stelselpaaie oor.
 * Laat 'n duidelike teksnota `How to decrypt my data.txt` agter wat 'n statiese **Tox ID** vir onderhandelinge insluit.
 * Bevat 'n interne **kill-switch**:
 ```c
 if (file_mod_time >= "2026-06-06") exit(0);
 ```
 #### DLL kant-laai ketting
 1. Aanvaller skryf `dllhijacked.dll`/`My7zdllhijacked.dll` langs 'n wettige `7z.exe`.
 2. SharePoint-geboorte `w3wp.exe` begin `7z.exe`, wat die kwaadwillige DLL laai as gevolg van Windows soekorde, wat die ransomware ingangspunt in geheue aanroep.
 3. 'n Afsonderlike LockBit laaier waargeneem (`bbb.msi` ➜ `clink_x86.exe` ➜ `clink_dll_x86.dll`) dekripteer skulp-kode en voer **DLL holing** in `d3dl1.dll` uit om LockBit 3.0 te laat loop.
 > [!INFO]
 > Dieselfde statiese Tox ID wat in X2ANYLOCK gevind is, verskyn in gelekte LockBit databasisse, wat 'n ooreenkoms tussen vennote voorstel.
 ---
 ## 4. Opsporing idees
 | Telemetrie | Waarom dit verdag is |
-|------------|----------------------|
+|-----------|----------------------|
-| `w3wp.exe → cmd.exe`             | Werkersproses behoort selde 'n skulp te spawn  |
+| `w3wp.exe → cmd.exe`             | Werknemer proses behoort selde 'n skulp te genereer  |
 | `cmd.exe → powershell.exe -EncodedCommand` | Klassieke lolbin patroon           |
 | Lêer gebeurtenisse wat `debug_dev.js` of `spinstall0.aspx` skep | IOCs regstreeks van ToolShell |
 | `ProcessCmdLine BEVAT ToolPane.aspx` (ETW/Module logs) | Publieke PoCs roep hierdie bladsy aan |
@ -121,6 +172,7 @@ proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powers
 - [Unit42 – Aktiewe Exploitatie van Microsoft SharePoint Kw vulnerabilities](https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/)
 - [GitHub PoC – ToolShell exploit ketting](https://github.com/real-or-not/ToolShell)
 - [Microsoft Sekuriteitsadvies – CVE-2025-49704 / 49706](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-49704)
 - [Unit42 – Projek AK47 / SharePoint Exploitatie & Ransomware Aktiwiteit](https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/)
 - [Microsoft Sekuriteitsadvies – CVE-2025-53770 / 53771](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-53770)
 {{#include ../../banners/hacktricks-training.md}}