简介
Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。
漏洞概述
Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。
环境搭建
进入目录cd vulhub-master/drupal/CVE-2019-6339/进行安装docker-compose up -d
访问 http://your-ip:8080/
默认下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。
安装完毕
漏洞复现
Poc下载地址
https://github.com/thezdi/PoC/blob/master/Drupal/drupal_xss_rce.zip管理员修改资料处上传头像
Drupal 的图片默认存储位置为
/sites/default/files/pictures/<YYYY-MM>/查看图片,地址为
sites/default/files/pictures/2020-12/blog-ZDI-CAN-7232-cat.jpg
访问
http://your-ip:8080/admin/config/media/file-system在 Temporary directory 处输入之前上传的图片路径
phar://./sites/default/files/pictures/2020-12/blog-ZDI-CAN-7232-cat.jpg
保存后将触发该漏洞
修复建议
目前厂商已发布升级补丁以修复漏洞
补丁链接:
https://www.drupal.org/sa-core-2019-002
本文始发于微信公众号(锋刃科技):Drupal 远程代码执行漏洞(CVE-2019-6339)复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论