Você Não Precisa de um 0-Day para RCE: Uma Kill Chain no Mundo Real

11 de maio de 2026

Resumo

Um pentester demonstrou uma kill chain real contra um portal ASP.NET protegido pelo Cloudflare. Utilizando OSINT (certificados SSL históricos via Censys, hashes de favicon e IDs do Google Analytics), ele conseguiu desmascarar o IP de Origem. Em seguida, o tráfego foi roteado diretamente via `curl --resolve` e `Burp host overrides` para contornar completamente o WAF. Uma vez no backend IIS exposto, um endpoint de upload de avatar autenticado aceitou um web shell .aspx disfarçado com `Content-Type: image/png`, resultando em RCE como `iis apppool\webapp_worker`, pois a validação ocorria apenas no perímetro do WAF.

Defensores devem implementar `Authenticated Origin Pulls` (mTLS entre o WAF e o backend), restringir o `ingress` do `firewall` de origem apenas a faixas de IP publicadas do WAF e validar uploads no backend por meio de `allowlists` de extensão e verificações de `magic-byte`, em vez de confiar apenas no `Content-Type` ou em bloqueios perimetrais.

Fontes

infosecwriteups.comfonte original

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 11 de maio de 2026
Editoria: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?