Drupal RCE
With PHP Filter Module
Katika toleo za zamani za Drupal (kabla ya toleo la 8), ilikuwa inawezekana kuingia kama admin na kuwezesha moduli ya PHP filter
, ambayo "Inaruhusu msimbo wa PHP uliowekwa ndani/kipande kutathminiwa." Lakini kuanzia toleo la 8 moduli hii haijaanzishwa kwa chaguo-msingi.
Unahitaji plugin ya php iwe imewekwa (angalia kwa kufikia /modules/php na ikiwa inarudisha 403 basi, ipo, ikiwa haipatikani, basi plugin ya php haijaanzishwa)
Nenda kwa Modules -> (Angalia) PHP Filter -> Hifadhi usanidi
Kisha bonyeza Ongeza maudhui -> Chagua Ukurasa wa Msingi au Kifungu -> Andika php shellcode kwenye mwili -> Chagua PHP code katika Muundo wa maandiko -> Chagua Tazama
Hatimaye, fikia node mpya iliyoundwa:
Install PHP Filter Module
Katika toleo za sasa si tena inawezekana kufunga plugins kwa kuwa na ufikiaji wa wavuti tu baada ya usakinishaji wa default.
Kuanzia toleo 8 na kuendelea, PHP Filter moduli haifungwi kwa default. Ili kutumia kazi hii, itabidi tufunge moduli wenyewe.
Pakua toleo la hivi karibuni la moduli kutoka tovuti ya Drupal.
wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
Mara baada ya kupakua, nenda kwenye
Administration
>Reports
>Available updates
.Bonyeza
Browse
, chagua faili kutoka kwenye directory tuliyopakia, kisha bonyezaInstall
.Mara moduli ikishafungwa, tunaweza kubonyeza
Content
na kuunda ukurasa mpya wa msingi, kama tulivyofanya katika mfano wa Drupal 7. Tena, hakikisha uchaguePHP code
kutoka kwenyeText format
dropdown.
Backdoored Module
Katika toleo za sasa si tena inawezekana kufunga plugins kwa kuwa na ufikiaji wa wavuti tu baada ya usakinishaji wa default.
Moduli yenye backdoor inaweza kuundwa kwa kuongeza shell kwenye moduli iliyopo. Moduli zinaweza kupatikana kwenye tovuti ya drupal.org. Hebu chague moduli kama CAPTCHA. Shuka chini na nakili kiungo cha tar.gz archive.
Pakua archive na uondoe yaliyomo yake.
Tengeneza PHP web shell yenye maudhui:
Next, we need to create a
.htaccess
file to give ourselves access to the folder. This is necessary as Drupal denies direct access to the/modules
folder.
Mipangilio iliyo juu itatumika kwa sheria za / folda tunapohitaji faili katika /modules. Nakili faili hizi mbili kwenye folda ya captcha na uunde archive.
Ikiwa tuna ufikiaji wa kiutawala kwenye tovuti, bonyeza
Manage
kishaExtend
kwenye upande wa menyu. Kisha, bonyeza kitufe cha+ Install new module
, na tutapelekwa kwenye ukurasa wa usakinishaji, kamahttp://drupal-site.local/admin/modules/install
Tembelea archive ya Captcha iliyokuwa na backdoor na bonyezaInstall
.Mara baada ya usakinishaji kufanikiwa, tembelea
/modules/captcha/shell.php
ili kutekeleza amri.
Backdooring Drupal kwa kutumia Usawazishaji wa Mipangilio
Post iliyoshirikiwa na Coiffeur0x90
Sehemu ya 1 (kuanzisha Media na Media Library)
Katika menyu ya Extend (/admin/modules), unaweza kuanzisha kile kinachoweza kuonekana kama plugins ambazo tayari zimesakinishwa. Kwa kawaida, plugins Media na Media Library hazionekani kuanzishwa, hivyo hebu tuzianzishe.
Kabla ya kuanzisha:
Baada ya kuanzisha:
Sehemu ya 2 (kutumia kipengele Usawazishaji wa Mipangilio)
Tutatumia kipengele Usawazishaji wa Mipangilio kutupa (kuhamasisha) na kupakia (kuagiza) entries za mipangilio ya Drupal:
/admin/config/development/configuration/single/export
/admin/config/development/configuration/single/import
Patch system.file.yml
Hebu tuanze kwa kupatch entry ya kwanza allow_insecure_uploads
kutoka:
File: system.file.yml
Kwa:
File: system.file.yml
Patch field.field.media.document.field_media_document.yml
Kisha, pata kipengele cha pili file_extensions
kutoka:
File: field.field.media.document.field_media_document.yml
Ili:
Faili: field.field.media.document.field_media_document.yml
Sijatumia katika blogu hii lakini inabainishwa kuwa inawezekana kufafanua kiingilio
file_directory
kwa njia yoyote na kwamba ina udhaifu wa shambulio la path traversal (hivyo tunaweza kurudi juu ndani ya mti wa mfumo wa faili wa Drupal).
Sehemu ya 3 (kutumia kipengele Ongeza Hati)
Hatua ya mwisho ni rahisi zaidi, na imegawanywa katika hatua ndogo mbili. Ya kwanza ni kupakia faili katika muundo wa .htaccess ili kutumia maagizo ya Apache na kuruhusu faili za .txt kutafsiriwa na injini ya PHP. Ya pili ni kupakia faili ya .txt inayoshikilia mzigo wetu.
Faili: .htaccess
Kwa nini hila hii ni nzuri?
Kwa sababu mara tu Webshell (ambayo tutaita LICENSE.txt) inapowekwa kwenye seva ya Mtandao, tunaweza kuhamasisha amri zetu kupitia $_COOKIE
na katika kumbukumbu za seva ya Mtandao, hii itaonekana kama ombi halali la GET kwa faili la maandiko.
Kwa nini kuita Webshell yetu LICENSE.txt?
Kwa sababu tu ikiwa tutachukua faili ifuatayo, kwa mfano core/LICENSE.txt (ambayo tayari ipo katika msingi wa Drupal), tuna faili ya mistari 339 na ukubwa wa 17.6 KB, ambayo ni bora kwa kuongeza kipande kidogo cha msimbo wa PHP katikati (kwa sababu faili ni kubwa vya kutosha).
Faili: LICENSE.txt iliyorekebishwa
Sehemu ya 3.1 (pakia faili .htaccess)
Kwanza, tunatumia kipengele Add Document (/media/add/document) kupakia faili yetu inayokuwa na maagizo ya Apache (.htaccess).
Sehemu ya 3.2 (pakia faili LICENSE.txt)
Kisha, tunatumia tena kipengele Add Document (/media/add/document) kupakia Webshell iliyofichwa ndani ya faili la leseni.
Sehemu ya 4 (mawasiliano na Webshell)
Sehemu ya mwisho inahusisha mawasiliano na Webshell.
Kama inavyoonyeshwa katika picha ifuatayo, ikiwa cookie inayotarajiwa na Webshell yetu haijafafanuliwa, tunapata matokeo yafuatayo tunaposhughulikia faili kupitia kivinjari cha wavuti.
Wakati mshambuliaji anapoweka cookie, anaweza kuwasiliana na Webshell na kutekeleza amri zozote anazotaka.
Na kama unavyoona katika kumbukumbu, inaonekana kama faili ya txt pekee ndiyo imeombwa.
Asante kwa kuchukua muda kusoma makala hii, natumai itakusaidia kupata baadhi ya shells.
Last updated