maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/microsoft-sh

Browse Source
This commit is contained in:
Translator 2025-08-10 18:32:28 +00:00
parent 59bb0ea0ac
commit 6d1b3b32e7
1 changed files with 63 additions and 11 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

74
src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md
View File

@ -47,14 +47,14 @@ ASP.NET ViewState'i kötüye kullanma hakkında derinlemesine bir açıklama iç
### 2.4 CVE-2025-53771 Yol Traversali / web.config Açığa Çıkarma
`ToolPane.aspx`'ye hazırlanmış bir `Source` parametresi göndermek (örneğin `../../../../web.config`), hedef dosyayı döndürerek aşağıdakilerin açığa çıkmasına izin verir:
`ToolPane.aspx`'ye hazırlanmış bir `Source` parametresi göndermek (örneğin, `../../../../web.config`), hedef dosyayı döndürerek aşağıdakilerin açığa çıkmasına neden olur:
* `<machineKey validationKey="…" decryptionKey="…">` ➜ ViewState / ASPXAUTH çerezlerini sahte oluşturma
* `<machineKey validationKey="…" decryptionKey="…">` ➜ ViewState / ASPXAUTH çerezlerini sahtelemek
* bağlantı dizeleri ve gizli anahtarlar.
## 3. Gerçek hayatta gözlemlenen sonrası istismar tarifleri
## 3. Post-exploitation tarifleri doğal ortamda gözlemlendi
### 3.1 Her *.config* dosyasını dışarı aktar (varyasyon-1)
### 3.1 Her *.config* dosyasını dışarıya aktar (varyasyon-1)
```
cmd.exe /c for /R C:\inetpub\wwwroot %i in (*.config) do @type "%i" >> "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug_dev.js"
```
@ -79,23 +79,74 @@ Yazıldığı yer:
```
C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx
```
Shell, çiftlik genelinde ViewState ve ASPXAUTH çerezlerini sahte olarak oluşturmayı sağlayan **makine anahtarlarını okuma / döndürme** uç noktalarınıığa çıkarır.
The shell, makine anahtarlarını **okuma / döndürme** için uç noktalarıığa çıkarır, bu da ViewState ve ASPXAUTH çerezlerinin çiftlik genelinde sahte olarak oluşturulmasına olanak tanır.
### 3.3 Obfuscate edilmiş varyant (varyasyon-3)
Aynı shell ama:
* `...\15\TEMPLATE\LAYOUTS\` altına bırakıldı
* değişken adları tek harfe indirildi
* sandbox kaçışı ve zaman tabanlı AV atlatma için `Thread.Sleep(<ms>)` eklendi.
* değişken adları tek harflerle azaltıldı
* sandbox-kaçış ve zamanlama tabanlı AV atlatma için `Thread.Sleep(<ms>)` eklendi.
### 3.4 AK47C2 çok protokollü arka kapı & X2ANYLOCK fidye yazılımı (gözlemlendi 2025-2026)
Son olay müdahale araştırmaları (Unit42 “Proje AK47”) saldırganların **ilk RCE** sonrasında ToolShell zincirini nasıl kullandığını gösteriyor, SharePoint ortamlarında çift kanallı C2 implantı ve fidye yazılımı dağıtmak için:
#### AK47C2 `dnsclient` varyantı
* Hard-coded DNS sunucusu: `10.7.66.10`, yetkili alan `update.updatemicfosoft.com` ile iletişim kuruyor.
* Mesajlar, statik anahtar `VHBD@H` ile XOR şifrelenmiş JSON nesneleridir, hex kodlanmış ve **alt alan etiketleri** olarak gömülmüştür.
```json
{"cmd":"<COMMAND>","cmd_id":"<ID>"}
```
* Uzun sorgular parçalara ayrılır ve `s` ile ön eklenir, ardından sunucu tarafında yeniden birleştirilir.
* Sunucu, aynı XOR/hex şemasını taşıyan TXT kayıtları ile yanıt verir:
```json
{"cmd":"<COMMAND>","cmd_id":"<ID>","type":"result","fqdn":"<HOST>","result":"<OUTPUT>"}
```
* Versiyon 202504, `<COMMAND>::<SESSION_KEY>` ve parça işaretçileri `1`, `2`, `a` ile basitleştirilmiş bir format tanıttı.
#### AK47C2 `httpclient` varyantı
* Tam olarak aynı JSON & XOR rutinini yeniden kullanır ancak hex blob'u **HTTP POST gövdesinde** `libcurl` aracılığıyla gönderir (`CURLOPT_POSTFIELDS`, vb.).
* Aşağıdaki işlemleri/sonuçları sağlayan aynı görev/sonuç iş akışı:
* Keyfi shell komut yürütme.
* Dinamik uyku aralığı ve kill-switch talimatları.
#### X2ANYLOCK fidye yazılımı
* DLL yan yükleme aracılığıyla yüklenen 64-bit C++ yükü (aşağıya bakın).
* Dosya verileri için AES-CBC ve AES anahtarını sarmak için RSA-2048 kullanır, ardından uzantıyı `.x2anylock` ekler.
* Yerel sürücüleri ve keşfedilen SMB paylaşımlarını özyinelemeli olarak şifreler; sistem yollarını atlar.
* Müzakere için statik **Tox ID** gömülü `How to decrypt my data.txt`ık metin notu bırakır.
* İçinde bir **kill-switch** içerir:
```c
if (file_mod_time >= "2026-06-06") exit(0);
```
#### DLL yan yükleme zinciri
1. Saldırgan, meşru bir `7z.exe` yanında `dllhijacked.dll`/`My7zdllhijacked.dll` yazar.
2. SharePoint tarafından başlatılan `w3wp.exe`, Windows arama sırası nedeniyle kötü amaçlı DLL'yi yükleyen `7z.exe`'yi başlatır ve fidye yazılımı giriş noktasını bellekte çağırır.
3. Ayrı bir LockBit yükleyici gözlemlendi (`bbb.msi``clink_x86.exe``clink_dll_x86.dll`), shell kodunu şifre çözer ve LockBit 3.0'ı çalıştırmak için `d3dl1.dll` içine **DLL hollowing** gerçekleştirir.
> [!INFO]
> X2ANYLOCK'ta bulunan aynı statik Tox ID, sızdırılan LockBit veritabanlarında görünmektedir, bu da ortaklık örtüşmesini önermektedir.
---
## 4. Tespit fikirleri
| Telemetri | Neden şüpheli |
|-----------|----------------|
| `w3wp.exe → cmd.exe` | İşçi süreci nadiren shell açmalıdır |
|-----------|----------------------|
| `w3wp.exe → cmd.exe` | Çalışan süreç nadiren shell başlatmalıdır |
| `cmd.exe → powershell.exe -EncodedCommand` | Klasik lolbin deseni |
| `debug_dev.js` veya `spinstall0.aspx` oluşturan dosya olayları | ToolShell'den doğrudan IOC'ler |
| `ProcessCmdLine CONTAINS ToolPane.aspx` (ETW/Modül günlükleri) | Kamuya açık PoC'ler bu sayfayı çağırır |
| `debug_dev.js` veya `spinstall0.aspx` oluşturan dosya olayları | ToolShell'den doğrudan IOC'lar |
| `ProcessCmdLine CONTAINS ToolPane.aspx` (ETW/Modül kayıtları) | Kamuya açık PoC'ler bu sayfayı çağırır |
Örnek XDR / Sysmon kuralı (pseudo-XQL):
```
@ -121,6 +172,7 @@ proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powers
- [Unit42 Microsoft SharePoint Açıklarının Aktif İstismarı](https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/)
- [GitHub PoC ToolShell istismar zinciri](https://github.com/real-or-not/ToolShell)
- [Microsoft Güvenlik Danışmanlığı CVE-2025-49704 / 49706](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-49704)
- [Unit42 Proje AK47 / SharePoint İstismarı & Fidye Yazılımı Faaliyeti](https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/)
- [Microsoft Güvenlik Danışmanlığı CVE-2025-53770 / 53771](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-53770)
{{#include ../../banners/hacktricks-training.md}}