Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)
Vulnhub官方复现教程
https://vulhub.org/#/environments/drupal/CVE-2014-3704/
漏洞原理
Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。
复现漏洞
启动环境
https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为
cd /root/vulhub/drupal/CVE-2014-3704
搭建及运行漏洞环境:
docker-compose build && docker-compose up -d
用时:五分钟
环境启动后,访问http://your-ip:8080
即可看到Drupal的安装页面,使用默认配置安装即可。
其中,Mysql数据库名填写d