IIS - Internet Information Services
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe zu bekämpfen, die aus informationsstehlender Malware resultieren.
Sie können ihre Website besuchen und ihren Motor kostenlos ausprobieren unter:
Testausführbare Dateierweiterungen:
asp
aspx
config
php
Offenlegung der internen IP-Adresse
Auf jedem IIS-Server, bei dem Sie eine 302 erhalten, können Sie versuchen, den Host-Header zu entfernen und HTTP/1.0 zu verwenden. Im Antworttext könnte der Location-Header auf die interne IP-Adresse verweisen:
Antwort, die die interne IP-Adresse offenlegt:
Ausführen von .config-Dateien
Sie können .config-Dateien hochladen und verwenden, um Code auszuführen. Eine Möglichkeit besteht darin, den Code am Ende der Datei innerhalb eines HTML-Kommentars anzufügen: Beispiel hier herunterladen
Weitere Informationen und Techniken zur Ausnutzung dieser Schwachstelle finden Sie hier
IIS Discovery Bruteforce
Laden Sie die von mir erstellte Liste herunter:
Sie wurde erstellt, indem die Inhalte der folgenden Listen zusammengeführt wurden:
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt
Verwenden Sie sie, ohne eine Erweiterung hinzuzufügen, die Dateien, die sie benötigen, haben sie bereits.
Pfadtraversierung
Offenlegung von Quellcode
Überprüfen Sie die vollständige Beschreibung unter: https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html
Zusammenfassend gibt es mehrere web.config-Dateien innerhalb der Anwendungsordner mit Verweisen auf "assemblyIdentity"-Dateien und "namespaces". Mit diesen Informationen ist es möglich zu wissen, wo sich ausführbare Dateien befinden und sie herunterzuladen. Aus den heruntergeladenen Dlls ist es auch möglich, neue Namespaces zu finden, auf die Sie zugreifen und die web.config-Datei abrufen sollten, um neue Namespaces und assemblyIdentity zu finden. Außerdem können die Dateien connectionstrings.config und global.asax interessante Informationen enthalten.\
In .Net MVC-Anwendungen spielt die web.config-Datei eine entscheidende Rolle, indem sie jede Binärdatei angibt, auf die die Anwendung durch "assemblyIdentity"-XML-Tags angewiesen ist.
Erkunden von Binärdateien
Ein Beispiel zum Zugriff auf die web.config-Datei wird unten gezeigt:
Diese Anfrage enthüllt verschiedene Einstellungen und Abhängigkeiten, wie:
EntityFramework-Version
AppSettings für Webseiten, Client-Validierung und JavaScript
Konfigurationen von System.web für Authentifizierung und Laufzeit
Einstellungen für System.webServer-Module
Laufzeit-Assembly-Bindungen für zahlreiche Bibliotheken wie Microsoft.Owin, Newtonsoft.Json und System.Web.Mvc
Diese Einstellungen deuten darauf hin, dass bestimmte Dateien, wie /bin/WebGrease.dll, sich im Ordner /bin der Anwendung befinden.
Stammverzeichnisdateien
Dateien im Stammverzeichnis, wie /global.asax und /connectionstrings.config (die sensible Passwörter enthalten), sind für die Konfiguration und den Betrieb der Anwendung unerlässlich.
Namespaces und Web.Config
MVC-Anwendungen definieren auch zusätzliche web.config-Dateien für spezifische Namespaces, um wiederholte Deklarationen in jeder Datei zu vermeiden, wie bei einer Anfrage zum Herunterladen eines weiteren web.config demonstriert:
Herunterladen von DLLs
Die Erwähnung eines benutzerdefinierten Namensraums deutet auf eine DLL mit dem Namen "WebApplication1" im /bin-Verzeichnis hin. Anschließend wird eine Anfrage zum Herunterladen der WebApplication1.dll angezeigt:
Dies deutet auf die Anwesenheit anderer wichtiger DLLs hin, wie System.Web.Mvc.dll und System.Web.Optimization.dll, im /bin-Verzeichnis.
In einem Szenario, in dem eine DLL einen Namespace namens WebApplication1.Areas.Minded importiert, könnte ein Angreifer auf die Existenz anderer web.config-Dateien in vorhersehbaren Pfaden schließen, wie z.B. /area-name/Views/, die spezifische Konfigurationen und Verweise auf andere DLLs im /bin-Ordner enthalten. Beispielsweise kann eine Anfrage an /Minded/Views/web.config Konfigurationen und Namespaces offenlegen, die auf die Anwesenheit einer anderen DLL, WebApplication1.AdditionalFeatures.dll, hinweisen.
Gemeinsame Dateien
Von hier
HTTPAPI 2.0 404 Fehler
Wenn Sie einen Fehler wie den folgenden sehen:
Bedeutet dies, dass der Server den korrekten Domainnamen nicht im Host-Header erhalten hat. Um auf die Webseite zuzugreifen, könnten Sie einen Blick auf das bereitgestellte SSL-Zertifikat werfen und möglicherweise den Domain-/Subdomainnamen dort finden. Wenn er dort nicht vorhanden ist, müssen Sie möglicherweise VHosts brute forcen, bis Sie den richtigen gefunden haben.
Alte IIS-Schwachstellen, nach denen es sich lohnt zu suchen
Microsoft IIS Tilde-Zeichen "~" Schwachstelle/Funktion - Offenlegung kurzer Datei-/Ordnername
Sie können versuchen, Ordner und Dateien in jedem entdeckten Ordner aufzulisten (auch wenn dies eine Basisauthentifizierung erfordert) mithilfe dieser Technik. Die Hauptbeschränkung dieser Technik, wenn der Server anfällig ist, besteht darin, dass nur bis zu den ersten 6 Buchstaben des Namens jeder Datei/Ordner und den ersten 3 Buchstaben der Erweiterung der Dateien gefunden werden können.
Sie können https://github.com/irsdl/IIS-ShortName-Scanner verwenden, um diese Schwachstelle zu testen: java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/
Ursprüngliche Forschung: https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf
Sie können auch Metasploit verwenden: use scanner/http/iis_shortname_scanner
Basisauthentifizierung umgehen
Umgehen Sie eine Basisauthentifizierung (IIS 7.5) und versuchen Sie auf Folgendes zuzugreifen: /admin:$i30:$INDEX_ALLOCATION/admin.php
oder /admin::$INDEX_ALLOCATION/admin.php
Sie können versuchen, diese Schwachstelle und die letzte zu kombinieren, um neue Ordner zu finden und die Authentifizierung zu umgehen.
ASP.NET Trace.AXD aktiviertes Debugging
ASP.NET enthält einen Debugging-Modus und die Datei heißt trace.axd
.
Es führt ein sehr detailliertes Protokoll aller Anfragen, die über einen bestimmten Zeitraum an eine Anwendung gestellt wurden.
Diese Informationen umfassen Remote-Client-IPs, Sitzungs-IDs, alle Anfrage- und Antwort-Cookies, physische Pfade, Quellcodeinformationen und möglicherweise sogar Benutzernamen und Passwörter.
https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/
ASPXAUTH-Cookie
ASPXAUTH verwendet die folgenden Informationen:
validationKey
(Zeichenfolge): hex-codierter Schlüssel zur Verwendung für die Signaturvalidierung.decryptionMethod
(Zeichenfolge): (Standard "AES").decryptionIV
(Zeichenfolge): hex-codierter Initialisierungsvektor (standardmäßig ein Vektor aus Nullen).decryptionKey
(Zeichenfolge): hex-codierter Schlüssel zur Verwendung für die Entschlüsselung.
Einige Personen verwenden jedoch die Standardwerte dieser Parameter und verwenden als Cookie die E-Mail des Benutzers. Daher, wenn Sie eine Webseite finden, die die gleiche Plattform verwendet, die den ASPXAUTH-Cookie verwendet, und Sie einen Benutzer mit der E-Mail des Benutzers erstellen, den Sie auf dem angegriffenen Server imitieren möchten, könnten Sie in der Lage sein, den Cookie vom zweiten Server im ersten zu verwenden und den Benutzer zu imitieren. Dieser Angriff funktionierte in diesem Bericht.
IIS-Authentifizierungsumgehung mit zwischengespeicherten Passwörtern (CVE-2022-30209)
Vollständiger Bericht hier: Ein Fehler im Code überprüfte das vom Benutzer angegebene Passwort nicht ordnungsgemäß, sodass ein Angreifer, dessen Passworthash auf einen Schlüssel trifft, der bereits im Cache vorhanden ist, sich als dieser Benutzer anmelden kann.
WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.
Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.
Sie können ihre Website besuchen und ihre Suchmaschine kostenlos ausprobieren unter:
Last updated