Drupal

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Websec | Uw Cybersecurity Specialist

Discovery

Check meta

curl https://www.drupal.org/ | grep 'content="Drupal'

Вузол: Drupal індексує свій контент за допомогою вузлів. Вузол може містити будь-що, наприклад, допис у блозі, опитування, статтю тощо. URI сторінок зазвичай мають форму /node/<nodeid>.

curl drupal-site.com/node/1

Enumeration

Version

Перевірте /CHANGELOG.txt

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

Нові установки Drupal за замовчуванням блокують доступ до файлів CHANGELOG.txt та README.txt.

Перерахування імен користувачів

Drupal підтримує три типи користувачів за замовчуванням:

Administrator: Цей користувач має повний контроль над веб-сайтом Drupal.
Authenticated User: Ці користувачі можуть увійти на веб-сайт і виконувати операції, такі як додавання та редагування статей, залежно від їхніх прав.
Anonymous: Усі відвідувачі веб-сайту вважаються анонімними. За замовчуванням цим користувачам дозволено лише читати публікації.

Щоб перерахувати користувачів, ви можете:

Отримати кількість користувачів: Просто отримуйте доступ до /user/1, /user/2, /user/3... поки не отримаєте помилку, що вказує на те, що користувача не існує.
Реєстрація: Отримайте доступ до /user/register і спробуйте створити ім'я користувача, і якщо ім'я вже зайняте, це буде вказано в помилці від сервера.
Скидання пароля: Спробуйте скинути пароль користувача, і якщо користувача не існує, це буде чітко вказано в повідомленні про помилку.

Сховані сторінки

Просто знайдіть нові сторінки, переглядаючи /node/FUZZ, де FUZZ - це число (наприклад, від 1 до 1000).

Інформація про встановлені модулі

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

Автоматизовані інструменти

droopescan scan drupal -u http://drupal-site.local

RCE

Якщо у вас є доступ до веб-консолі Drupal, перевірте ці параметри, щоб отримати RCE:

Drupal RCE

Від XSS до RCE

Drupalwned: Скрипт експлуатації Drupal, який підвищує XSS до RCE або інших критичних вразливостей. Для отримання додаткової інформації перегляньте цей пост. Він забезпечує підтримку версій Drupal 7.X.X, 8.X.X, 9.X.X та 10.X.X, і дозволяє:
Підвищення привілеїв: Створює адміністративного користувача в Drupal.
(RCE) Завантажити шаблон: Завантажити користувацькі шаблони з бекдором до Drupal.

Постексплуатація

Прочитати settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

Вивантаження користувачів з БД

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'

Websec | Uw Cybersecurity Specialist

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.

PreviousDotNetNuke (DNN)NextDrupal RCE

Last updated 6 days ago