IIS - Internet Information Services
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Δοκιμάστε εκτελέσιμες επεκτάσεις αρχείων:
asp
aspx
config
php
Σε οποιονδήποτε διακομιστή IIS όπου λαμβάνετε 302, μπορείτε να δοκιμάσετε να αφαιρέσετε την κεφαλίδα Host και να χρησιμοποιήσετε το HTTP/1.0 και μέσα στην απόκριση η κεφαλίδα Location θα μπορούσε να σας δείξει την εσωτερική διεύθυνση IP:
Απάντηση που αποκαλύπτει την εσωτερική διεύθυνση IP:
Μπορείτε να ανεβάσετε αρχεία .config και να τα χρησιμοποιήσετε για να εκτελέσετε κώδικα. Ένας τρόπος να το κάνετε είναι να προσθέσετε τον κώδικα στο τέλος του αρχείου μέσα σε ένα HTML σχόλιο: Κατεβάστε το παράδειγμα εδώ
Περισσότερες πληροφορίες και τεχνικές για την εκμετάλλευση αυτής της ευπάθειας εδώ
Κατεβάστε τη λίστα που έχω δημιουργήσει:
Δημιουργήθηκε συγχωνεύοντας τα περιεχόμενα των παρακάτω λιστών:
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt
Χρησιμοποιήστε το χωρίς να προσθέσετε καμία επέκταση, τα αρχεία που το χρειάζονται το έχουν ήδη.
Ελέγξτε την πλήρη ανάλυση στο: https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html
Ως σύνοψη, υπάρχουν αρκετά αρχεία web.config μέσα στους φακέλους της εφαρμογής με αναφορές σε αρχεία "assemblyIdentity" και "namespaces". Με αυτές τις πληροφορίες είναι δυνατόν να γνωρίζετε πού βρίσκονται τα εκτελέσιμα και να τα κατεβάσετε. Από τις κατεβασμένες Dlls είναι επίσης δυνατό να βρείτε νέα namespaces όπου θα πρέπει να προσπαθήσετε να αποκτήσετε πρόσβαση και να αποκτήσετε το αρχείο web.config προκειμένου να βρείτε νέα namespaces και assemblyIdentity. Επίσης, τα αρχεία connectionstrings.config και global.asax μπορεί να περιέχουν ενδιαφέρουσες πληροφορίες.\
Στις εφαρμογές .Net MVC, το αρχείο web.config παίζει κρίσιμο ρόλο καθορίζοντας κάθε δυαδικό αρχείο που εξαρτάται η εφαρμογή μέσω των XML ετικετών "assemblyIdentity".
Ένα παράδειγμα πρόσβασης στο αρχείο web.config φαίνεται παρακάτω:
Αυτό το αίτημα αποκαλύπτει διάφορες ρυθμίσεις και εξαρτήσεις, όπως:
EntityFramework έκδοση
AppSettings για ιστοσελίδες, έλεγχο πελατών και JavaScript
System.web ρυθμίσεις για αυθεντικοποίηση και χρόνο εκτέλεσης
System.webServer ρυθμίσεις μονάδων
Runtime δεσμεύσεις assembly για πολλές βιβλιοθήκες όπως Microsoft.Owin, Newtonsoft.Json, και System.Web.Mvc
Αυτές οι ρυθμίσεις υποδεικνύουν ότι ορισμένα αρχεία, όπως το /bin/WebGrease.dll, βρίσκονται μέσα στον φάκελο /bin της εφαρμογής.
Αρχεία που βρίσκονται στη ρίζα διεύθυνση, όπως το /global.asax και το /connectionstrings.config (το οποίο περιέχει ευαίσθητους κωδικούς πρόσβασης), είναι απαραίτητα για τη ρύθμιση και τη λειτουργία της εφαρμογής.
Οι εφαρμογές MVC ορίζουν επίσης επιπλέον web.config αρχεία για συγκεκριμένα namespaces ώστε να αποφεύγονται οι επαναλαμβανόμενες δηλώσεις σε κάθε αρχείο, όπως αποδεικνύεται με ένα αίτημα για λήψη άλλου web.config:
Η αναφορά σε ένα προσαρμοσμένο namespace υποδηλώνει μια DLL με όνομα "WebApplication1" που υπάρχει στον φάκελο /bin. Ακολουθεί ένα αίτημα για λήψη της WebApplication1.dll:
Αυτό υποδηλώνει την παρουσία άλλων βασικών DLL, όπως το System.Web.Mvc.dll και το System.Web.Optimization.dll, στον φάκελο /bin.
Σε ένα σενάριο όπου μια DLL εισάγει ένα namespace που ονομάζεται WebApplication1.Areas.Minded, ένας επιτιθέμενος μπορεί να συμπεράνει την ύπαρξη άλλων αρχείων web.config σε προβλέψιμες διαδρομές, όπως /area-name/Views/, που περιέχουν συγκεκριμένες ρυθμίσεις και αναφορές σε άλλες DLL στον φάκελο /bin. Για παράδειγμα, ένα αίτημα προς το /Minded/Views/web.config μπορεί να αποκαλύψει ρυθμίσεις και namespaces που υποδεικνύουν την παρουσία άλλης DLL, WebApplication1.AdditionalFeatures.dll.
Από εδώ
Αν δείτε ένα σφάλμα όπως το παρακάτω:
Αυτό σημαίνει ότι ο διακομιστής δεν έλαβε το σωστό όνομα τομέα μέσα στην κεφαλίδα Host. Για να αποκτήσετε πρόσβαση στη σελίδα, μπορείτε να ρίξετε μια ματιά στο SSL Certificate που εξυπηρετείται και ίσως να βρείτε το όνομα τομέα/υποτομέα εκεί. Αν δεν είναι εκεί, μπορεί να χρειαστεί να brute force VHosts μέχρι να βρείτε το σωστό.
Μπορείτε να προσπαθήσετε να καταμετρήσετε φακέλους και αρχεία μέσα σε κάθε ανακαλυφθέντα φάκελο (ακόμα και αν απαιτεί Βασική Αυθεντικοποίηση) χρησιμοποιώντας αυτή την τεχνική. Ο κύριος περιορισμός αυτής της τεχνικής αν ο διακομιστής είναι ευάλωτος είναι ότι μπορεί να βρει μόνο μέχρι τα πρώτα 6 γράμματα του ονόματος κάθε αρχείου/φακέλου και τα πρώτα 3 γράμματα της επέκτασης των αρχείων.
Μπορείτε να χρησιμοποιήσετε https://github.com/irsdl/IIS-ShortName-Scanner για να δοκιμάσετε αυτή την ευπάθεια:java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/
Αρχική έρευνα: https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf
Μπορείτε επίσης να χρησιμοποιήσετε metasploit: use scanner/http/iis_shortname_scanner
Μια καλή ιδέα για να βρείτε το τελικό όνομα των ανακαλυφθέντων αρχείων είναι να ρωτήσετε LLMs για επιλογές όπως γίνεται στο σενάριο https://github.com/Invicti-Security/brainstorm/blob/main/fuzzer_shortname.py
Παράκαμψη μιας βασικής αυθεντικοποίησης (IIS 7.5) προσπαθώντας να αποκτήσετε πρόσβαση: /admin:$i30:$INDEX_ALLOCATION/admin.php
ή /admin::$INDEX_ALLOCATION/admin.php
Μπορείτε να προσπαθήσετε να συνδυάσετε αυτή την ευπάθεια και την τελευταία για να βρείτε νέους φακέλους και να παράκαμψετε την αυθεντικοποίηση.
Το ASP.NET περιλαμβάνει μια λειτουργία αποσφαλμάτωσης και το αρχείο του ονομάζεται trace.axd
.
Διατηρεί ένα πολύ λεπτομερές αρχείο καταγραφής όλων των αιτημάτων που έγιναν σε μια εφαρμογή κατά τη διάρκεια μιας περιόδου.
Αυτές οι πληροφορίες περιλαμβάνουν IP απομακρυσμένων πελατών, IDs συνεδρίας, όλα τα cookies αιτήσεων και απαντήσεων, φυσικούς δρόμους, πληροφορίες πηγαίου κώδικα και ενδεχομένως ακόμα και ονόματα χρηστών και κωδικούς πρόσβασης.
https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/
Το ASPXAUTH χρησιμοποιεί τις παρακάτω πληροφορίες:
validationKey
(string): κλειδί σε μορφή hex για χρήση στην επικύρωση υπογραφής.
decryptionMethod
(string): (προεπιλογή “AES”).
decryptionIV
(string): αρχικοποιητικός διανύσματος σε μορφή hex (προεπιλογή ένα διανύσμα μηδενικών).
decryptionKey
(string): κλειδί σε μορφή hex για χρήση στην αποκρυπτογράφηση.
Ωστόσο, κάποιοι άνθρωποι θα χρησιμοποιήσουν τις προεπιλεγμένες τιμές αυτών των παραμέτρων και θα χρησιμοποιήσουν ως cookie το email του χρήστη. Επομένως, αν μπορείτε να βρείτε έναν ιστότοπο που χρησιμοποιεί την ίδια πλατφόρμα που χρησιμοποιεί το cookie ASPXAUTH και δημιουργήσετε έναν χρήστη με το email του χρήστη που θέλετε να προσποιηθείτε στον διακομιστή που δέχεται επίθεση, μπορεί να είστε σε θέση να χρησιμοποιήσετε το cookie από τον δεύτερο διακομιστή στον πρώτο και να προσποιηθείτε τον χρήστη. Αυτή η επίθεση λειτούργησε σε αυτή την αναφορά.
Πλήρης αναφορά εδώ: Ένα σφάλμα στον κώδικα δεν έλεγξε σωστά τον κωδικό πρόσβασης που δόθηκε από τον χρήστη, έτσι ένας επιτιθέμενος του οποίου ο κατακερματισμένος κωδικός πρόσβασης χτυπά ένα κλειδί που είναι ήδη στην κρυφή μνήμη θα μπορεί να συνδεθεί ως αυτός ο χρήστης.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)