简介
Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。
漏洞概述
Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。
环境搭建
进入目录
cd vulhub-master/drupal/CVE-2019-6339/
进行安装
docker-compose up -d
访问 http://your-ip:8080/
默认下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。
安装完毕
漏洞复现
Poc下载地址
https://github.com/thezdi/PoC/blob/master/Drupal/drupal_xss_rce.zip管理员修改资料处上传头像
Drupal 的图片默认存储位置为 /sites/default/files/pictures/<YYYY-MM>/
查看图片,地址为sites/default/files/pictures/2020-12/blog-ZDI-CAN-7232-cat.jpg
访问
http://your-ip:8080/admin/config/media/file-system在 Temporary directory 处输入之前上传的图片路径
phar://./sites/default/files/pictures/2020-12/blog-ZDI-CAN-7232-cat.jpg
保存后将触发该漏洞
修复建议
目前厂商已发布升级补丁以修复漏洞
补丁链接:
https://www.drupal.org/sa-core-2019-002