Você Não Precisa de um 0-Day para RCE: Uma Kill Chain no Mundo Real

Um pentester demonstrou uma kill chain real contra um portal ASP.NET protegido pelo Cloudflare. Utilizando OSINT (certificados SSL históricos via Censys, hashes de favicon e IDs do Google Analytics), ele conseguiu desmascarar o IP de Origem. Em seguida, o tráfego foi roteado diretamente via `curl --resolve` e `Burp host overrides` para contornar completamente o WAF. Uma vez no backend IIS exposto, um endpoint de upload de avatar autenticado aceitou um web shell .aspx disfarçado com `Content-Type: image/png`, resultando em RCE como `iis apppool\webapp_worker`, pois a validação ocorria apenas no perímetro do WAF.

Defensores devem implementar `Authenticated Origin Pulls` (mTLS entre o WAF e o backend), restringir o `ingress` do `firewall` de origem apenas a faixas de IP publicadas do WAF e validar uploads no backend por meio de `allowlists` de extensão e verificações de `magic-byte`, em vez de confiar apenas no `Content-Type` ou em bloqueios perimetrais.