Drupal RCE
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Σε παλαιότερες εκδόσεις του Drupal (πριν την έκδοση 8), ήταν δυνατό να συνδεθείτε ως διαχειριστής και να ενεργοποιήσετε το module PHP filter, το οποίο "Επιτρέπει την αξιολόγηση ενσωματωμένου κώδικα/κομματιών PHP." Αλλά από την έκδοση 8 αυτό το module δεν εγκαθίσταται από προεπιλογή.
Πρέπει να είναι εγκατεστημένο το plugin php (ελέγξτε το πηγαίνοντας στο /modules/php και αν επιστρέφει 403 τότε, υπάρχει, αν δεν βρεθεί, τότε το plugin php δεν είναι εγκατεστημένο)
Πηγαίνετε στο Modules -> (Ελέγξτε) PHP Filter -> Αποθήκευση ρυθμίσεων
Στη συνέχεια, κάντε κλικ στο Προσθήκη περιεχομένου -> Επιλέξτε Basic Page ή Article -> Γράψτε php shellcode στο σώμα -> Επιλέξτε PHP code στην Μορφή κειμένου -> Επιλέξτε Προεπισκόπηση
Τέλος, απλά αποκτήστε πρόσβαση στον νεοδημιουργηθέντα κόμβο:
Στις τρέχουσες εκδόσεις, δεν είναι πλέον δυνατό να εγκαταστήσετε πρόσθετα μόνο με πρόσβαση στο διαδίκτυο μετά την προεπιλεγμένη εγκατάσταση.
Από την έκδοση 8 και μετά, το PHP Filter module δεν εγκαθίσταται προεπιλεγμένα. Για να αξιοποιήσουμε αυτή τη λειτουργικότητα, θα πρέπει να εγκαταστήσουμε το module μόνοι μας.
Κατεβάστε την πιο πρόσφατη έκδοση του module από την ιστοσελίδα του Drupal.
wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
Αφού κατεβεί, πηγαίνετε στο Administration > Reports > Available updates.
Κάντε κλικ στο Browse, επιλέξτε το αρχείο από τον φάκελο στον οποίο το κατεβάσατε και στη συνέχεια κάντε κλικ στο Install.
Αφού εγκατασταθεί το module, μπορούμε να κάνουμε κλικ στο Content και να δημιουργήσουμε μια νέα βασική σελίδα, παρόμοια με το πώς κάναμε στο παράδειγμα του Drupal 7. Και πάλι, βεβαιωθείτε ότι έχετε επιλέξει PHP code από το αναπτυσσόμενο μενού Text format.
Στις τρέχουσες εκδόσεις, δεν είναι πλέον δυνατό να εγκαταστήσετε πρόσθετα μόνο με πρόσβαση στο διαδίκτυο μετά την προεπιλεγμένη εγκατάσταση.
Ένα backdoored module μπορεί να δημιουργηθεί προσθέτοντας ένα shell σε ένα υπάρχον module. Τα modules μπορούν να βρεθούν στην ιστοσελίδα drupal.org. Ας επιλέξουμε ένα module όπως το CAPTCHA. Κάντε κύλιση προς τα κάτω και αντιγράψτε τον σύνδεσμο για το tar.gz αρχείο.
Κατεβάστε το αρχείο και εξαγάγετε το περιεχόμενό του.
Δημιουργήστε ένα PHP web shell με τα περιεχόμενα:
Στη συνέχεια, πρέπει να δημιουργήσουμε ένα .htaccess αρχείο για να αποκτήσουμε πρόσβαση στον φάκελο. Αυτό είναι απαραίτητο καθώς το Drupal αρνείται την άμεση πρόσβαση στον φάκελο /modules.
Η παραπάνω ρύθμιση θα εφαρμόσει κανόνες για τον φάκελο / όταν ζητάμε ένα αρχείο στον /modules. Αντιγράψτε και τα δύο αυτά αρχεία στον φάκελο captcha και δημιουργήστε ένα αρχείο.
Υποθέτοντας ότι έχουμε διοικητική πρόσβαση στον ιστότοπο, κάντε κλικ στο Manage και στη συνέχεια στο Extend στη γραμμή πλοήγησης. Στη συνέχεια, κάντε κλικ στο κουμπί + Install new module και θα μεταφερθούμε στη σελίδα εγκατάστασης, όπως http://drupal-site.local/admin/modules/install. Περιηγηθείτε στο αρχείο Captcha με backdoor και κάντε κλικ στο Install.
Μόλις ολοκληρωθεί η εγκατάσταση, περιηγηθείτε στο /modules/captcha/shell.php για να εκτελέσετε εντολές.
Ανάρτηση που μοιράστηκε από Coiffeur0x90
Στο μενού Extend (/admin/modules), μπορείτε να ενεργοποιήσετε αυτά που φαίνονται ως πρόσθετα που είναι ήδη εγκατεστημένα. Από προεπιλογή, τα πρόσθετα Media και Media Library δεν φαίνεται να είναι ενεργοποιημένα, οπότε ας τα ενεργοποιήσουμε.
Πριν την ενεργοποίηση:
Μετά την ενεργοποίηση:
Θα εκμεταλλευτούμε τη δυνατότητα Configuration synchronization για να εξάγουμε (dump) και να ανεβάσουμε (import) τις καταχωρίσεις ρυθμίσεων του Drupal:
/admin/config/development/configuration/single/export
/admin/config/development/configuration/single/import
Patch system.file.yml
Ας ξεκινήσουμε με την επιδιόρθωση της πρώτης καταχώρισης allow_insecure_uploads από:
File: system.file.yml
Για:
Αρχείο: system.file.yml
Διόρθωση field.field.media.document.field_media_document.yml
Στη συνέχεια, διόρθωσε την δεύτερη καταχώρηση file_extensions από:
Αρχείο: field.field.media.document.field_media_document.yml
Για:
Αρχείο: field.field.media.document.field_media_document.yml
Δεν το χρησιμοποιώ σε αυτή την ανάρτηση, αλλά σημειώνεται ότι είναι δυνατόν να οριστεί η είσοδος
file_directoryμε αυθαίρετο τρόπο και ότι είναι ευάλωτη σε επίθεση διαδρομής (path traversal) (έτσι μπορούμε να επιστρέψουμε μέσα στο δέντρο συστήματος αρχείων του Drupal).
Το τελευταίο βήμα είναι το πιο απλό και χωρίζεται σε δύο υποβήματα. Το πρώτο είναι να ανεβάσουμε ένα αρχείο σε μορφή .htaccess για να εκμεταλλευτούμε τις οδηγίες του Apache και να επιτρέψουμε στα αρχεία .txt να ερμηνεύονται από τη μηχανή PHP. Το δεύτερο είναι να ανεβάσουμε ένα αρχείο .txt που περιέχει το payload μας.
Αρχείο: .htaccess
Γιατί είναι αυτό το κόλπο ωραίο;
Επειδή μόλις το Webshell (που θα ονομάσουμε LICENSE.txt) τοποθετηθεί στον Web server, μπορούμε να μεταδώσουμε τις εντολές μας μέσω $_COOKIE και στα αρχεία καταγραφής του Web server, αυτό θα εμφανίζεται ως ένα νόμιμο GET αίτημα σε ένα αρχείο κειμένου.
Γιατί να ονομάσουμε το Webshell μας LICENSE.txt;
Απλά επειδή αν πάρουμε το παρακάτω αρχείο, για παράδειγμα core/LICENSE.txt (το οποίο είναι ήδη παρόν στον πυρήνα του Drupal), έχουμε ένα αρχείο 339 γραμμών και 17.6 KB σε μέγεθος, το οποίο είναι τέλειο για να προσθέσουμε ένα μικρό απόσπασμα κώδικα PHP στη μέση (καθώς το αρχείο είναι αρκετά μεγάλο).
Αρχείο: Διορθωμένο LICENSE.txt
Αρχικά, εκμεταλλευόμαστε τη δυνατότητα Προσθήκη Εγγράφου (/media/add/document) για να ανεβάσουμε το αρχείο μας που περιέχει τις οδηγίες Apache (.htaccess).
Μέρος 3.2 (ανέβασμα αρχείου LICENSE.txt)
Στη συνέχεια, εκμεταλλευόμαστε ξανά τη δυνατότητα Προσθήκη Εγγράφου (/media/add/document) για να ανεβάσουμε ένα Webshell κρυμμένο μέσα σε ένα αρχείο άδειας.
Το τελευταίο μέρος περιλαμβάνει την αλληλεπίδραση με το Webshell.
Όπως φαίνεται στην παρακάτω στιγμιότυπο οθόνης, αν το cookie που αναμένεται από το Webshell μας δεν είναι καθορισμένο, λαμβάνουμε το επόμενο αποτέλεσμα όταν συμβουλευόμαστε το αρχείο μέσω ενός Web browser.
Όταν ο επιτιθέμενος ορίσει το cookie, μπορεί να αλληλεπιδράσει με το Webshell και να εκτελέσει οποιαδήποτε εντολή θέλει.
Και όπως μπορείτε να δείτε στα αρχεία καταγραφής, φαίνεται ότι έχει ζητηθεί μόνο ένα αρχείο txt.
Σας ευχαριστώ που αφιερώσατε χρόνο για να διαβάσετε αυτό το άρθρο, ελπίζω να σας βοηθήσει να αποκτήσετε μερικά shells.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
