Chinese - Ht
HackTricks Training Twitter Linkedin Sponsor

Drupal

从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)

支持HackTricks的其他方式:

发现

  • 检查meta

curl https://www.drupal.org/ | grep 'content="Drupal'

  • 节点: Drupal 使用节点索引其内容。一个节点可以包含任何内容,比如博客文章、投票、文章等。页面的URI通常采用/node/<nodeid>的形式。

curl drupal-site.com/node/1

枚举

Drupal 默认支持三种类型的用户

  1. 管理员:此用户对Drupal网站拥有完全控制权。

  2. 已验证用户:这些用户可以登录网站,并根据其权限执行操作,如添加和编辑文章。

  3. 匿名用户:所有网站访问者都被指定为匿名用户。默认情况下,这些用户只能阅读帖子。

版本

  • 检查 /CHANGELOG.txt

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

Drupal的新安装默认阻止访问CHANGELOG.txtREADME.txt文件。

用户名枚举

注册

/user/register 页面尝试创建一个用户名,如果该名称已被使用,系统会通知:

请求新密码

如果您为现有用户名请求新密码:

如果您为不存在的用户名请求新密码:

获取用户数量

访问 /user/<number> 您可以查看现有用户的数量,例如在这种情况下是2,因为 /users/3 返回未找到错误:

隐藏页面

/node/$ 进行模糊测试,其中 $ 是一个数字(例如从1到500)。 您可能会发现隐藏页面(测试、开发),这些页面未被搜索引擎引用。

已安装模块信息

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

自动化

droopescan scan drupal -u http://drupal-site.local

RCE

如果您可以访问Drupal Web控制台,请检查以下选项以获得RCE:

pageDrupal RCE

后渗透

读取 settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

从数据库中导出用户

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'

参考资料

从零开始学习AWS黑客技术,成为英雄 htARTE(HackTricks AWS红队专家)

支持HackTricks的其他方式:

上一页DotNetNuke (DNN)下一页Drupal RCE

最后更新于