Drupal RCE
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
在旧版本的 Drupal (8 之前),可以以管理员身份登录并 启用 PHP filter
模块,该模块“允许嵌入的 PHP 代码/片段被评估。”但从版本 8 开始,该模块默认未安装。
转到 /modules/php,如果返回 403 错误,则 PHP 过滤器插件已安装,您可以继续
如果没有,转到 Modules
并勾选 PHP Filter
的框,然后点击 Save configuration
然后,为了利用它,点击 Add content
,选择 Basic Page
或 Article
并编写 PHP 后门,然后在文本格式中选择 PHP
代码,最后选择 Preview
要触发它,只需访问新创建的节点:
在当前版本中,仅通过访问网页在默认安装后安装插件已不再可能。
从 8 版本开始, PHP Filter 模块默认不安装。要利用此功能,我们必须 自己安装该模块。
从 Drupal 网站下载最新版本的模块。
wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
下载完成后,转到 Administration
> Reports
> Available updates
。
点击 Browse
,从我们下载的目录中选择文件,然后点击 Install
。
模块安装完成后,我们可以点击 Content
并 创建一个新的基本页面,类似于我们在 Drupal 7 示例中所做的。再次确保 从 Text format
下拉菜单中选择 PHP code
。
在当前版本中,仅通过访问网页在默认安装后安装插件已不再可能。
可以 下载 一个 模块,添加一个 后门 并 安装 它。例如,下载 Trurnstile 模块的压缩格式,在其中创建一个新的 PHP 后门文件,允许通过 .htaccess
文件访问 PHP 文件:
然后访问 http://drupal.local/admin/modules/install
来安装后门模块,并访问 /modules/turnstile/back.php
来执行它。
帖子由 Coiffeur0x90 分享
在 Extend 菜单 (/admin/modules) 中,您可以激活看似已经安装的插件。默认情况下,插件 Media 和 Media Library 并未激活,因此让我们激活它们。
激活前:
激活后:
我们将利用 Configuration synchronization 功能来转储(导出)和上传(导入)Drupal配置条目:
/admin/config/development/configuration/single/export
/admin/config/development/configuration/single/import
补丁 system.file.yml
让我们首先修补第一个条目 allow_insecure_uploads
:
文件: system.file.yml
到:
文件:system.file.yml
修补 field.field.media.document.field_media_document.yml
然后,修补第二个条目 file_extensions
从:
文件: field.field.media.document.field_media_document.yml
到:
文件:field.field.media.document.field_media_document.yml
我在这篇博客中没有使用它,但需要注意的是,可以以任意方式定义条目
file_directory
,并且它容易受到路径遍历攻击(因此我们可以在Drupal文件系统树中向上返回)。
最后一步是最简单的,分为两个子步骤。第一步是上传一个.htaccess格式的文件,以利用Apache指令并允许PHP引擎解释.txt文件。第二步是上传一个包含我们有效载荷的.txt文件。
文件:.htaccess
为什么这个技巧很酷?
因为一旦 Webshell(我们称之为 LICENSE.txt)被放置到 Web 服务器上,我们可以通过 $_COOKIE
传输我们的命令,并且在 Web 服务器日志中,这将显示为对文本文件的合法 GET 请求。
为什么将我们的 Webshell 命名为 LICENSE.txt?
简单来说,如果我们以以下文件为例 core/LICENSE.txt(该文件已经存在于 Drupal 核心中),我们有一个 339 行和 17.6 KB 大小的文件,这非常适合在中间添加一小段 PHP 代码(因为文件足够大)。
文件:已修补的 LICENSE.txt
首先,我们利用 Add Document (/media/add/document) 功能上传包含 Apache 指令的文件 (.htaccess)。
第3.2部分(上传文件 LICENSE.txt)
然后,我们再次利用 Add Document (/media/add/document) 功能上传隐藏在许可证文件中的 Webshell。
最后一部分是与 Webshell 进行交互。
如以下截图所示,如果我们的 Webshell 期望的 cookie 未定义,则在通过 Web 浏览器查询文件时会得到后续结果。
当攻击者设置 cookie 时,他可以与 Webshell 交互并执行任何他想要的命令。
正如您在日志中看到的,似乎只请求了一个 txt 文件。
感谢您花时间阅读本文,希望它能帮助您获取一些 shells。
学习与实践 AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) 学习与实践 GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)