Drupal
Ugunduzi
Angalia meta
Node: Drupal inaweka alama za maudhui yake kwa kutumia nodes. Node inaweza kushikilia chochote kama vile chapisho la blogu, kura, makala, nk. URI za ukurasa kwa kawaida ni za aina
/node/<nodeid>
.
Enumeration
Drupal inasaidia aina tatu za watumiaji kwa default:
Administrator
: Mtumiaji huyu ana udhibiti kamili juu ya tovuti ya Drupal.Authenticated User
: Watumiaji hawa wanaweza kuingia kwenye tovuti na kufanya operesheni kama kuongeza na kuhariri makala kulingana na ruhusa zao.Anonymous
: Wageni wote wa tovuti wanapewa jina la kutotambulika. Kwa default, watumiaji hawa wanaruhusiwa kusoma tu machapisho.
Version
Check
/CHANGELOG.txt
Mifumo mipya ya Drupal kwa default inazuia ufikiaji wa faili za CHANGELOG.txt
na README.txt
.
Uainishaji wa majina ya watumiaji
Jisajili
Katika /user/register jaribu tu kuunda jina la mtumiaji na ikiwa jina tayari limetumika litajulishwa:
Omba nenosiri jipya
Ikiwa unahitaji nenosiri jipya kwa jina la mtumiaji lililopo:
Ikiwa unahitaji nenosiri jipya kwa jina la mtumiaji lisilopo:
Pata idadi ya watumiaji
Kwa kufikia /user/<number> unaweza kuona idadi ya watumiaji waliopo, katika kesi hii ni 2 kwani /users/3 inarudisha kosa la kutopatikana:
Kurasa zilizofichwa
Fuzz /node/$
ambapo $
ni nambari (kutoka 1 hadi 500 kwa mfano).
Unaweza kupata kurasa zilizofichwa (test, dev) ambazo hazijarejelewa na injini za utafutaji.
Taarifa za moduli zilizowekwa
Kiotomatiki
RCE
Ikiwa una ufikiaji wa console ya wavuti ya Drupal angalia chaguzi hizi kupata RCE:
Drupal RCEKutoka XSS hadi RCE
Drupalwned: Skripti ya Ukatili wa Drupal ambayo inaweza kuinua XSS hadi RCE au Uthibitisho Mwingine wa Kihatarishi. Kwa maelezo zaidi angalia hii chapisho. Inatoa msaada kwa Matoleo ya Drupal 7.X.X, 8.X.X, 9.X.X na 10.X.X, na inaruhusu:
Kuongeza Haki: Inaunda mtumiaji wa kiutawala katika Drupal.
(RCE) Pakia Kiolezo: Pakia violezo vya kawaida vilivyo na backdoor kwa Drupal.
Baada ya Ukatili
Soma settings.php
Dumisha watumiaji kutoka DB
References
Last updated