IIS - Internet Information Services
WhiteIntel είναι μια μηχανή αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες κακόβουλου λογισμικού.
Ο κύριος στόχος του WhiteIntel είναι η καταπολέμηση των αποκλεισμών λογαριασμών και των επιθέσεων ransomware που προκύπτουν από κακόβουλο λογισμικό που κλέβει πληροφορίες.
Μπορείτε να ελέγξετε την ιστοσελίδα τους και να δοκιμάσετε τη μηχανή τους δωρεάν στο:
Δοκιμάστε τις επεκτάσεις αρχείων εκτελέσιμων αρχείων:
asp
aspx
config
php
Αποκάλυψη Εσωτερικής Διεύθυνσης IP
Σε οποιονδήποτε διακομιστή IIS όπου λαμβάνετε έναν κωδικό 302, μπορείτε να δοκιμάσετε να αφαιρέσετε την κεφαλίδα Host και να χρησιμοποιήσετε το HTTP/1.0 και μέσα στην απάντηση η κεφαλίδα Τοποθεσία μπορεί να σας κατευθύνει στην εσωτερική διεύθυνση IP:
Απάντηση που αποκαλύπτει την εσωτερική IP:
Εκτέλεση αρχείων .config
Μπορείτε να μεταφορτώσετε αρχεία .config και να τα χρησιμοποιήσετε για να εκτελέσετε κώδικα. Ένας τρόπος για να το κάνετε είναι να προσθέσετε τον κώδικα στο τέλος του αρχείου μέσα σε ένα σχόλιο HTML: Λήψη παραδείγματος εδώ
Περισσότερες πληροφορίες και τεχνικές για την εκμετάλλευση αυτής της ευπάθειας εδώ
Βίαιη ανακάλυψη IIS
Κατεβάστε τη λίστα που δημιούργησα:
Δημιουργήθηκε συγχωνεύοντας τα περιεχόμενα των παρακάτω λιστών:
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt
Χρησιμοποιήστε τη χωρίς να προσθέσετε κάποια επέκταση, τα αρχεία που το χρειάζονται την έχουν ήδη.
Διάβαθμιση διαδρομής
Διαρροή κώδικα πηγής
Ελέγξτε το πλήρες άρθρο στο: https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html
Ως περίληψη, υπάρχουν αρκετά αρχεία web.config μέσα στους φακέλους της εφαρμογής με αναφορές σε αρχεία "assemblyIdentity" και "namespaces". Με αυτές τις πληροφορίες είναι δυνατό να γνωρίζετε πού βρίσκονται τα εκτελέσιμα και να τα κατεβάσετε. Από τα κατεβασμένα Dlls είναι επίσης δυνατό να βρείτε νέα namespaces όπου πρέπει να προσπαθήσετε να έχετε πρόσβαση και να βρείτε το αρχείο web.config για να βρείτε νέα namespaces και assemblyIdentity. Επίσης, τα αρχεία connectionstrings.config και global.asax μπορεί να περιέχουν ενδιαφέρουσες πληροφορίες.\
Στις εφαρμογές .Net MVC, το αρχείο web.config παίζει κρίσιμο ρόλο καθορίζοντας κάθε δυαδικό αρχείο στο οποίο βασίζεται η εφαρμογή μέσω των ετικετών XML "assemblyIdentity".
Εξερεύνηση δυαδικών αρχείων
Ένα παράδειγμα πρόσβασης στο αρχείο web.config παρουσιάζεται παρακάτω:
Αυτό το αίτημα αποκαλύπτει διάφορες ρυθμίσεις και εξαρτήσεις, όπως:
Έκδοση EntityFramework
AppSettings για webpages, επικύρωση πελάτη, και JavaScript
Ρυθμίσεις System.web για πιστοποίηση και χρόνο εκτέλεσης
Ρυθμίσεις System.webServer modules
Δέσμευση συναρμολογήσεων Runtime για πολλές βιβλιοθήκες όπως Microsoft.Owin, Newtonsoft.Json, και System.Web.Mvc
Αυτές οι ρυθμίσεις υποδηλώνουν ότι ορισμένα αρχεία, όπως το /bin/WebGrease.dll, βρίσκονται μέσα στον φάκελο εφαρμογής /bin.
Αρχεία Καταλόγου Root
Αρχεία που βρίσκονται στον κατάλογο ρίζας, όπως το /global.asax και το /connectionstrings.config (που περιέχει ευαίσθητους κωδικούς πρόσβασης), είναι ουσιώδη για τη διαμόρφωση και λειτουργία της εφαρμογής.
Ονόματα Χώρων και Web.Config
Οι εφαρμογές MVC ορίζουν επίσης επιπλέον αρχεία web.config για συγκεκριμένους χώρους ονομάτων προκειμένου να αποφευχθεί η επαναλαμβανόμενη δήλωση σε κάθε αρχείο, όπως φαίνεται σε ένα αίτημα για λήψη ενός άλλου web.config:
Λήψη DLLs
Η αναφορά σε ένα προσαρμοσμένο namespace υπονοεί την ύπαρξη ενός DLL με το όνομα "WebApplication1" που βρίσκεται στον κατάλογο /bin. Ακολούθως, παρουσιάζεται μια αίτηση για λήψη του WebApplication1.dll:
Αυτό υπονοεί την ύπαρξη άλλων βασικών DLLs, όπως το System.Web.Mvc.dll και το System.Web.Optimization.dll, στον κατάλογο /bin.
Σε ένα σενάριο όπου ένα DLL εισάγει ένα namespace που ονομάζεται WebApplication1.Areas.Minded, ένας επιτιθέμενος μπορεί να συμπεράνει την ύπαρξη άλλων αρχείων web.config σε προβλέψιμα μονοπάτια, όπως το /area-name/Views/, που περιέχουν συγκεκριμένες ρυθμίσεις και αναφορές σε άλλα DLLs στον φάκελο /bin. Για παράδειγμα, μια αίτηση στο /Minded/Views/web.config μπορεί να αποκαλύψει ρυθμίσεις και namespaces που υποδεικνύουν την ύπαρξη ενός άλλου DLL, του WebApplication1.AdditionalFeatures.dll.
Κοινά αρχεία
Από εδώ
Σφάλμα 404 HTTPAPI 2.0
Εάν βλέπετε ένα σφάλμα όπως το παρακάτω:
Σημαίνει ότι ο διακομιστής δεν λάβει το σωστό όνομα τομέα μέσα στην κεφαλίδα Host. Για να έχετε πρόσβαση στην ιστοσελίδα, μπορείτε να ελέγξετε το Πιστοποιητικό SSL που χρησιμοποιείται και ίσως βρείτε το όνομα τομέα/υποτομέα εκεί. Αν δεν υπάρχει εκεί, μπορεί να χρειαστεί να δοκιμάσετε βίαια τα VHosts μέχρι να βρείτε το σωστό.
Παλιές ευπάθειες του IIS που αξίζει να αναζητήσετε
Ευπάθεια/Χαρακτηριστικό του τίλντα χαρακτήρα “~” στο Microsoft IIS - Αποκάλυψη Σύντομων Ονομάτων Αρχείων/Φακέλων
Μπορείτε να απαριθμήσετε φακέλους και αρχεία μέσα σε κάθε ανακαλυφθέντα φάκελο (ακόμα και αν απαιτείται Βασική Ταυτοποίηση) χρησιμοποιώντας αυτήν τη τεχνική. Το κύριο περιορισμό αυτής της τεχνικής είναι ότι μπορεί να βρει μόνο μέχρι τους πρώτους 6 χαρακτήρες του ονόματος κάθε αρχείου/φακέλου και τους πρώτους 3 χαρακτήρες της επέκτασης των αρχείων.
Μπορείτε να χρησιμοποιήσετε το https://github.com/irsdl/IIS-ShortName-Scanner για να ελέγξετε αυτήν την ευπάθεια: java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/
Αρχική έρευνα: https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf
Μπορείτε επίσης να χρησιμοποιήσετε το metasploit: use scanner/http/iis_shortname_scanner
Παράκαμψη Βασικής Ταυτοποίησης
Παρακάμψτε μια βασική ταυτοποίηση (IIS 7.5) προσπαθώντας να έχετε πρόσβαση στο: /admin:$i30:$INDEX_ALLOCATION/admin.php
ή /admin::$INDEX_ALLOCATION/admin.php
Μπορείτε να δοκιμάσετε να συνδυάσετε αυτήν την ευπάθεια με την προηγούμενη για να βρείτε νέους φακέλους και να παρακάμψετε την ταυτοποίηση.
Ενεργοποιημένη αποσφαλμάτωση ASP.NET Trace.AXD
Το ASP.NET περιλαμβάνει έναν τρόπο αποσφαλμάτωσης και το αρχείο του ονομάζεται trace.axd
.
Διατηρεί ένα πολύ λεπτομερές αρχείο καταγραφής όλων των αιτήσεων που γίνονται σε μια εφαρμογή κατά μήκος ενός χρονικού διαστήματος.
Αυτές οι πληροφορίες περιλαμβάνουν απομακρυσμένες διευθύνσεις IP πελατών, αναγνωριστικά συνεδρίας, όλα τα cookies αιτήσεων και απαντήσεων, φυσικές διαδρομές, πληροφορίες κώδικα πηγής και πιθανώς ακόμη και ονόματα χρηστών και κωδικούς πρόσβασης.
https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/
Μπισκότο ASPXAUTH
Το ASPXAUTH χρησιμοποιεί τις ακόλουθες πληροφορίες:
validationKey
(συμβολοσειρά): κλειδί σε μορφή εξαγωγής για τον έλεγχο υπογραφής.decryptionMethod
(συμβολοσειρά): (προεπιλογή "AES").decryptionIV
(συμβολοσειρά): κλειδί αρχικοποίησης σε μορφή εξαγωγής (προεπιλογή σε ένα διάνυσμα με μηδενικά).decryptionKey
(συμβολοσειρά): κλειδί σε μορφή εξαγωγής για αποκρυπτογράφηση.
Ωστόσο, μερικοί άνθρωποι θα χρησιμοποιήσουν τις προεπιλεγμένες τιμές αυτών των παραμέτρων και θα χρησιμοποιήσουν ως μπισκότο το email του χρήστη. Επομένως, αν μπορείτε να βρείτε μια ιστοσελίδα που χρησιμοποιεί την ίδια πλατφόρμα που χρησιμοποιεί το μπισκότο ASPXAUTH και δημιουργήσετε ένα χρήστη με το email του χρήστη που θέλετε να παραστήσετε στον διακομιστή που είναι υπό επίθεση, μπορείτε να χρησιμοποιήσετε το μπισκότο από τον δεύτερο διακομιστή στον πρώτο και να παραστήσετε τον χρήστη. Αυτή η επίθεση λειτούργησε σε αυτό το άρθρο.
Παράκαμψη Ταυτοποίησης IIS με κρυφούς κωδικούς πρόσβασης (CVE-2022-30209)
Πλήρης έκθεση εδώ: Ένα σφάλμα στον κώδικα δεν ελέγχει σωστά τον κωδικό που δίνεται από τον χρήστη, έτσι ένας επιτιθέμενος του οποίου ο κατακερματισμένος κωδικός χτυπάει ένα κλειδί που είναι ήδη στη μνήμη cache θα μπορεί να συνδεθεί ως αυτός ο χρήστης.
WhiteIntel είναι ένας μηχανισμός αναζήτησης που τροφοδοτείται από το dark web και προσφέρει δωρεάν λειτουργίες για να ελέγξετε αν μια εταιρεία ή οι πελάτες της έχουν διαρρεύσει από κλέφτες malware.
Ο κύριος στόχος του WhiteIntel είναι η καταπολέμηση των αρπαγών λογαριασμών και των επιθέσεων ransomware που προκύπτουν από malware που κλέβει πληροφορίες.
Μπορείτε να ελέγξετε την ιστοσελίδα τους και να δοκιμάσετε τον μηχανισμό τους δωρεάν στο:
Last updated