Drupal

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

Websec | Uw Cybersecurity Specialist

発見

メタを確認する

curl https://www.drupal.org/ | grep 'content="Drupal'

ノード: Drupal はノードを使用してコンテンツをインデックス化します。ノードは ブログ投稿、投票、記事など 何でも 保持できます。ページのURIは通常 /node/<nodeid> の形式です。

curl drupal-site.com/node/1

列挙

Drupalはデフォルトで3種類のユーザーをサポートしています：

Administrator: このユーザーはDrupalウェブサイトに対して完全な制御を持っています。
Authenticated User: これらのユーザーはウェブサイトにログインし、権限に基づいて記事の追加や編集などの操作を行うことができます。
Anonymous: すべてのウェブサイト訪問者は匿名として指定されます。デフォルトでは、これらのユーザーは投稿を読むことのみ許可されています。

バージョン

/CHANGELOG.txtを確認してください。

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

新しいDrupalのインストールでは、デフォルトでCHANGELOG.txtとREADME.txtファイルへのアクセスがブロックされています。

ユーザー名の列挙

登録

_/user/register_でユーザー名を作成しようとすると、その名前がすでに使用されている場合は通知されます：

新しいパスワードのリクエスト

既存のユーザー名に対して新しいパスワードをリクエストすると：

存在しないユーザー名に対して新しいパスワードをリクエストすると：

ユーザー数の取得

_/user/<number>にアクセスすると、既存のユーザー数が表示されます。この場合、/users/3_は見つからないエラーを返すため、2人です：

隠しページ

/node/$をファズする、ここで$は数字です（例えば1から500まで）。検索エンジンによって参照されていない隠しページ（テスト、開発）を見つけることができます。

インストールされたモジュールの情報

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

自動的

droopescan scan drupal -u http://drupal-site.local

RCE

Drupalウェブコンソールにアクセスできる場合は、RCEを取得するためにこれらのオプションを確認してください：

Drupal RCE

From XSS to RCE

Drupalwned: Drupalの脆弱性を利用するスクリプトで、XSSをRCEまたはその他の重大な脆弱性に昇格させます。 詳細についてはこの投稿を確認してください。Drupalバージョン7.X.X、8.X.X、9.X.X、10.X.Xをサポートし、次のことを可能にします：
特権昇格： Drupalに管理ユーザーを作成します。
(RCE) テンプレートのアップロード： Drupalにバックドアされたカスタムテンプレートをアップロードします。

Post Exploitation

Read settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

DBからユーザーをダンプする

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'

参考文献

https://academy.hackthebox.com/module/113/section/1209

Websec | Uw Cybersecurity Specialist

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousDotNetNuke (DNN)NextDrupal RCE

Last updated 2 months ago