Translated ['src/network-services-pentesting/pentesting-web/microsoft-sh

src/network-services-pentesting/pentesting-web/microsoft-sharepoint.md

@@ -2,7 +2,7 @@
 
 {{#include ../../banners/hacktricks-training.md}}
 
-> Microsoft SharePoint (on-premises) je izgrađen na ASP.NET/IIS. Većina klasične web napadačke površine (ViewState, Web.Config, web shells, itd.) je stoga prisutna, ali SharePoint takođe dolazi sa stotinama vlasničkih ASPX stranica i web servisa koji dramatično povećavaju izloženu napadačku površinu. Ova stranica prikuplja praktične trikove za enumeraciju, eksploataciju i persistenciju unutar SharePoint okruženja sa naglaskom na 2025. exploit lanac koji je otkrio Unit42 (CVE-2025-49704/49706/53770/53771).
+> Microsoft SharePoint (on-premises) je izgrađen na ASP.NET/IIS. Većina klasične web napadačke površine (ViewState, Web.Config, web shells, itd.) je stoga prisutna, ali SharePoint takođe dolazi sa stotinama vlasničkih ASPX stranica i web servisa koji dramatično povećavaju izloženu napadačku površinu. Ova stranica prikuplja praktične trikove za enumeraciju, eksploataciju i održavanje unutar SharePoint okruženja sa naglaskom na 2025. exploit lanac koji je otkrio Unit42 (CVE-2025-49704/49706/53770/53771).
 
 ## 1. Quick enumeration
 ```
@@ -25,7 +25,7 @@ python3 Office365-ADFSBrute/SharePointURLBrute.py -u https://<host>
 
 ### 2.1 CVE-2025-49704 – Code Injection on ToolPane.aspx
 
-`/_layouts/15/ToolPane.aspx?PageView=…&DefaultWebPartId=<payload>` omogućava umetanje proizvoljnog *Server-Side Include* koda na stranicu koja se kasnije kompajlira od strane ASP.NET. Napadač može umetnuti C# koji izvršava `Process.Start()` i ubaciti zlonamerni ViewState.
+`/_layouts/15/ToolPane.aspx?PageView=…&DefaultWebPartId=<payload>` omogućava umetanje proizvoljnog *Server-Side Include* koda na stranicu koja se kasnije kompajlira od strane ASP.NET. Napadač može umetnuti C# koji izvršava `Process.Start()` i ubaciti zloćudni ViewState.
 
 ### 2.2 CVE-2025-49706 – Improper Authentication Bypass
 
@@ -47,14 +47,14 @@ Za detaljno objašnjenje o zloupotrebi ASP.NET ViewState pročitajte:
 
 ### 2.4 CVE-2025-53771 – Putanja Traversal / web.config Otkriće
 
-Slanjem kreiranog `Source` parametra na `ToolPane.aspx` (npr. `../../../../web.config`) vraća se ciljani fajl, omogućavajući curenje:
+Slanjem kreiranog `Source` parametra na `ToolPane.aspx` (npr. `../../../../web.config`) vraća se ciljana datoteka, omogućavajući curenje:
 
 * `<machineKey validationKey="…" decryptionKey="…">`  ➜ falsifikovanje ViewState / ASPXAUTH kolačića
 * stringovi za konekciju i tajne.
 
-## 3. Post-exploitation recepti zabeleženi u divljini
+## 3. Post-exploitation recepti zabeleženi u prirodi
 
-### 3.1 Ekstraktovati svaki *.config* fajl (varijacija-1)
+### 3.1 Ekstraktovati svaku *.config* datoteku (varijacija-1)
 ```
 cmd.exe /c for /R C:\inetpub\wwwroot %i in (*.config) do @type "%i" >> "C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\debug_dev.js"
 ```
@@ -79,23 +79,74 @@ Napisano za:
 ```
 C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\16\TEMPLATE\LAYOUTS\spinstall0.aspx
 ```
-Shell izlaže krajnje tačke za **čitanje / rotaciju mašinskih ključeva** što omogućava falsifikovanje ViewState i ASPXAUTH kolačića širom farmi.
+Ljuska izlaže krajnje tačke za **čitati / rotirati mašinske ključeve** što omogućava falsifikovanje ViewState i ASPXAUTH kolačića širom farme.
 
 ### 3.3 Obfuskovana varijanta (varijacija-3)
 
-Isti shell, ali:
-* postavljen pod `...\15\TEMPLATE\LAYOUTS\`
+Ista ljuska, ali:
+* postavljena pod `...\15\TEMPLATE\LAYOUTS\`
 * imena promenljivih svedena na jednoslovne
-* `Thread.Sleep(<ms>)` dodat za izbegavanje sandboxes i zaobilaženje AV-a zasnovano na vremenu.
+* `Thread.Sleep(<ms>)` dodato za izbegavanje peska i zaobilaženje AV-a zasnovano na vremenu.
+
+### 3.4 AK47C2 multi-protokol backdoor & X2ANYLOCK ransomware (posmatrano 2025-2026)
+
+Nedavne istrage odgovora na incidente (Unit42 “Project AK47”) pokazuju kako napadači koriste ToolShell lanac **posle inicijalnog RCE** da implementiraju dual-channel C2 implant i ransomware u SharePoint okruženjima:
+
+#### AK47C2 – `dnsclient` varijanta
+
+* Hard-kodirani DNS server: `10.7.66.10` koji komunicira sa autoritativnom domenom `update.updatemicfosoft.com`.
+* Poruke su JSON objekti XOR-enkriptovani sa statičkim ključem `VHBD@H`, heksadecimalno kodirani i ugrađeni kao **sub-domen etikete**.
+
+```json
+{"cmd":"<COMMAND>","cmd_id":"<ID>"}
+```
+
+* Dugi upiti su podeljeni i prefiksirani sa `s`, zatim ponovo sastavljeni na strani servera.
+* Server odgovara u TXT zapisima koji nose istu XOR/heksadecimalnu shemu:
+
+```json
+{"cmd":"<COMMAND>","cmd_id":"<ID>","type":"result","fqdn":"<HOST>","result":"<OUTPUT>"}
+```
+* Verzija 202504 je uvela pojednostavljeni format `<COMMAND>::<SESSION_KEY>` i oznake za delove `1`, `2`, `a`.
+
+#### AK47C2 – `httpclient` varijanta
+
+* Ponovo koristi istu JSON & XOR rutinu, ali šalje heksadecimalni blob u **HTTP POST telu** putem `libcurl` (`CURLOPT_POSTFIELDS`, itd.).
+* Isti tok zadatka/rezultata omogućava:
+* Izvršavanje proizvoljnih shell komandi.
+* Dinamički interval spavanja i uputstva za kill-switch.
+
+#### X2ANYLOCK ransomware
+
+* 64-bitni C++ payload učitan kroz DLL side-loading (vidi ispod).
+* Koristi AES-CBC za podatke o datotekama + RSA-2048 za obavijanje AES ključa, zatim dodaje ekstenziju `.x2anylock`.
+* Rekurzivno enkriptuje lokalne diskove i otkrivene SMB deljene resurse; preskoči sistemske putanje.
+* Ostavlja belešku u čistom tekstu `Kako da dekriptujem svoje podatke.txt` koja sadrži statički **Tox ID** za pregovore.
+* Sadrži unutrašnji **kill-switch**:
+
+```c
+if (file_mod_time >= "2026-06-06") exit(0);
+```
+
+#### DLL side-loading lanac
+
+1. Napadač piše `dllhijacked.dll`/`My7zdllhijacked.dll` pored legitimnog `7z.exe`.
+2. SharePoint-om pokrenut `w3wp.exe` pokreće `7z.exe`, koji učitava zlonamerni DLL zbog Windows redosleda pretrage, pozivajući ulaznu tačku ransomware-a u memoriji.
+3. Posmatran je odvojen LockBit loader (`bbb.msi` ➜ `clink_x86.exe` ➜ `clink_dll_x86.dll`) koji dekriptuje shell-code i vrši **DLL hollowing** u `d3dl1.dll` da pokrene LockBit 3.0.
+
+> [!INFO]
+> Isti statički Tox ID pronađen u X2ANYLOCK pojavljuje se u procurenim LockBit bazama podataka, što sugeriše preklapanje partnera.
+
+---
 
 ## 4. Ideje za detekciju
 
 | Telemetrija | Zašto je sumnjiva |
-|--------------|-------------------|
+|-------------|-------------------|
 | `w3wp.exe → cmd.exe`             | Radni proces retko treba da pokreće shell  |
 | `cmd.exe → powershell.exe -EncodedCommand` | Klasičan lolbin obrazac           |
-| Događaji fajlova koji kreiraju `debug_dev.js` ili `spinstall0.aspx` | IOCs direktno iz ToolShell |
-| `ProcessCmdLine CONTAINS ToolPane.aspx` (ETW/Module logovi) | Javne PoCs pozivaju ovu stranicu |
+| Događaji datoteka koji kreiraju `debug_dev.js` ili `spinstall0.aspx` | IOCs direktno iz ToolShell |
+| `ProcessCmdLine CONTAINS ToolPane.aspx` (ETW/Module logs) | Javne PoCs pozivaju ovu stranicu |
 
 Primer XDR / Sysmon pravila (pseudo-XQL):
 ```
@@ -121,6 +172,7 @@ proc where parent_process_name="w3wp.exe" and process_name in ("cmd.exe","powers
 - [Unit42 – Aktivna eksploatacija ranjivosti Microsoft SharePoint-a](https://unit42.paloaltonetworks.com/microsoft-sharepoint-cve-2025-49704-cve-2025-49706-cve-2025-53770/)
 - [GitHub PoC – ToolShell lanac eksploatacije](https://github.com/real-or-not/ToolShell)
 - [Microsoft Security Advisory – CVE-2025-49704 / 49706](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-49704)
+- [Unit42 – Projekat AK47 / Eksploatacija SharePoint-a i aktivnost ransomware-a](https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/)
 - [Microsoft Security Advisory – CVE-2025-53770 / 53771](https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2025-53770)
 
 {{#include ../../banners/hacktricks-training.md}}