漏洞简介
Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。
影响版本
在7.65之前的Drupal 7版本中;8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。
启动漏洞环境
docker-compose up -d访问漏洞环境
环境启动后访问如下链接,将会看到drupal的安装页面。因为没有mysql环境,所以安装的时候可以选择sqlite数据库,其他配置均默认即可。
http://your-ip:8080漏洞复现
使用PoC上传构造好的伪造GIF文件
Drupal 的图片默认存储位置为 /sites/default/files/pictures/YYYY-MM/,默认存储名称为其原来的名称,所以之后在利用漏洞时,可以知道上传后的图片的具体位置。
POC下载地址:
https://github.com/thezdi/PoC/tree/master/Drupalvulhub搭建的环境中自带POC,直接使用
如图,输入如下命令,即可使用PoC构造样本并完成上传功能,第一个参数为目标IP 第二个参数为目标端口。
上传成功后,访问图片位置,即可触发 XSS 漏洞,如下图所示。
因为 Chrome 和 FireFox 浏览器自带部分过滤 XSS 功能,所以验证存在时可使用 Edge 浏览器或者 IE 浏览器。
这里使用Edge浏览:
本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!
敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
原文始发于微信公众号(巢安实验室):Drupal XSS漏洞(CVE-2019-6341)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论