利用Vulnhub复现漏洞 - Drupal 小于 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)

最新推荐文章于 2024-04-23 10:22:31 发布
最新推荐文章于 2024-04-23 10:22:31 发布
阅读量2.2k 收藏 3
点赞数 1
分类专栏: 渗透 文章标签: Vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/94441935
版权

Drupal < 7.32 “Drupalgeddon” SQL注入漏洞(CVE-2014-3704)

Vulnhub官方复现教程

https://vulhub.org/#/environments/drupal/CVE-2014-3704/

漏洞原理

Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。

复现漏洞

启动环境

https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为

cd /root/vulhub/drupal/CVE-2014-3704

搭建及运行漏洞环境:

docker-compose build && docker-compose up -d

用时:五分钟

环境启动后,访问http://your-ip:8080即可看到Drupal的安装页面,使用默认配置安装即可。

最低0.47元/天 解锁文章
建瓯最坏
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
drupal 7 ajax,【漏洞分析】CVE-2018-7600 Drupal 7.x 版本代码执行
weixin_35700003的博客
08-06 1262
阅读:8,003CVE-2018-7600影响范围包括了Drupal 6.x,7.x,8.x版本,前几天8.x版本的PoC出来之后大家都赶紧分析了一波,然后热度似乎慢慢退去了。两天前Drupalgeddon2项目更新了7.x版本的exp,实际环境也出现了利用,下面就简单来看一下0x01 概述CVE-2018-7600影响范围包括了Drupal 6.x,7.x,8.x版本,前几天8.x版本的PoC出...
drupalgeddon:针对 drupalgeddon SQL 注入漏洞的常见攻击向量和防御示例
07-08
#Drupalgeddon 示例 此存储库中包含的文件是在攻击期间对我的站点使用的文件的逆向工程版本。 在阅读更多信息 #说明 ##攻击文件 exploit.php :主要的攻击文件。 这会注入一些 SQL 并安装 2 个后门。 deobfuscate....
Vulhub之“DrupalgeddonSQL注入漏洞CVE-2014-3704
angry_program的博客
03-04 3509
简介 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 漏洞环境 进入对应的路径: vulhub-master/drupal/CVE-2014-3704 执行如下命令启动Drupal 7.31环境: docker-compose up -d 环境...
[ vulhub漏洞复现篇 ] vulhub 漏洞集合(含漏洞复现文章连接)
最新发布
小司机的奥拓
04-23 1517
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部复现,欢迎持续订阅我也会不定期再中间更新复现文章链接目的:以复现 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行复现,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者。
Drupal7.32DrupalgeddonSQL注入漏洞CVE-2014-3704漏洞复现
ADummy的博客
02-23 857
Drupal < 7.32DrupalgeddonSQL注入漏洞 by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>信息被爆出 0x01漏洞介绍 ​ Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 影响版本 Drupal < 7.31 0x02漏洞复现 payload: POST /?q=node&destinati
春秋云镜 CVE-2014-3704
qq_22002773的博客
09-17 340
春秋云镜 CVE-2014-3704
[春秋云镜]CVE-2014-3704
niubi707的博客
11-30 831
[春秋云镜]CVE-2014-3704 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由由内容管理系统和PHP开发框架共同构成,在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。
Drupalgeddon2:针对 Drupal v7.x + v8.x 的漏洞利用 (Drupalgeddon 2 CVE-2018-7600 SA-CORE-2018-002)
05-29
CVE-2018-7600 | Drupal 8.5.x < 8.5.1 / 8.4.x < 8.4.6 / 8.x < 8.3.9 / 7.x? < 7.58 / < 6.x? - 'Drupalgeddon2' RCE (SA-CORE-2018-002) ( ) 支持: Drupal < 8.3.9 / < 8.4.6 / < ...
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件
10-23
Drupal 7.31最新SQL Injection漏洞利用脚本支撑库文件 具体利用方法可以参见http://blog.csdn.net/kikaylee/article/details/40400643
【春秋云镜】CVE-2014-3704
2301_78321656的博客
07-15 1778
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由由内容管理系统和PHP开发框架共同构成,在GPL2.0及更新协议下发布。Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。访问漏洞环境,寻找可以利用的点,发现有登录框并根据漏洞简介,猜测可能在此有SQL注入漏洞。构造注入payload放包,看到有报错回显,存在sql注入
CVE-2014-3704 Drupal SQL注入漏洞
星落的博客
04-07 3595
目录 漏洞介绍 影响版本 环境搭建 漏洞复现 漏洞介绍 Drupal 是一款用量庞大的CMS,其中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码 影响版本 7.0-7.31 环境搭建 1.切换到drupal相关目录下,部署docker环境 cd/root/vulhub/weblogic/CVE-2014-3704 docker-compose build docker-compose up -d 2...
漏洞复现Drupal_小于7.32版本 _“DrupalgeddonSQL注入漏洞(CVE-2014-3704)
过期的秋刀鱼
11-04 377
存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。即可看到Drupal的安装页面,使用默认配置安装即可。Drupal 是一款用量庞大的CMS,其。Drupal 7.0~7.31版本。其中,Mysql数据库名填写。,数据库用户名、密码为。7.0~7.31版本。
Drupal7.32DrupalgeddonSQL注入漏洞CVE-2014-3704
EC_Carrot的博客
05-27 395
漏洞背景 Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 漏洞复现漏洞无需认证,发送如下数据包即可执行恶意SQL语句: POST /?q=node&destination=node HTTP/1.1 Host: your-ip:8080 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User
DRUPAL-PSA-CORE-2014-005 && CVE-2014-3704 Drupal 7.31 SQL Injection Vulnerability /includes/database...
weixin_34307464的博客
11-01 207
目录 1. 漏洞描述 2. 漏洞触发条件 3. 漏洞影响范围 4. 漏洞代码分析 5. 防御方法 6. 攻防思考   1. 漏洞描述 Use Drupal to build everything from personal blogs to enterprise applications. Thousands of add-on modules and designs l...
Drupal漏洞Drupal 7.31 SQL漏洞
2301_77778745的博客
04-25 552
1.通过python调用drupal7.x.py脚本对数据库进行注入。test test(后面两个test是新设的用户名和密码)2.输入命令:python drupal7.x.py。
[CVE-2014-3704]Drupal 7.31 SQL注入漏洞分析与复现
weixin_30940783的博客
06-11 1374
记录下自己的复现思路 漏洞影响: Drupal 7.31 Drupal是一个开源内容管理平台,为数百万个网站和应用程序提供支持。 0x01漏洞复现 复现环境: 1)Apache2.4 2)Php 7.0 3)drupal 7.31https://www.drupal.org/drupal-7.31-release-notes(点击下载) 环境打包在目录下安装即可 ...
"drupal < 7.32 \"drupalgeddon\" sql injection vulnerability (cve-2014-3704)漏洞"
10-28
Drupal <7.32版本中存在一个名为“Drupalgeddon”的SQL注入漏洞漏洞编号为CVE-2014-3704SQL注入是一种常见的网络安全漏洞,它允许攻击者通过在输入中注入恶意的SQL代码来干扰或绕过应用程序的数据库查询。在Drupal版本7.32以前,因为对用户输入的处理不完善,攻击者可以通过特殊构造的输入来执行恶意的SQL操作。 在Drupalgeddon漏洞中,攻击者可以利用这个漏洞来执行各种恶意的操作,包括获取敏感数据、篡改或删除数据库中的数据,甚至完全控制受影响的Drupal网站。 为了修复这个漏洞Drupal开发团队推出了补丁程序,所有受影响的用户都被建议尽快升级到Drupal7.32版本或更高的版本。升级到最新版本可以修复这个漏洞,并增强系统的安全性。 此外,通过使用Web应用程序防火墙(WAF)或其他安全性插件,可以进一步增强对SQL注入漏洞的保护。这些插件可以根据已知的攻击模式和行为规则来检测和阻止SQL注入攻击尝试。 总而言之,对于Drupal <7.32版本的用户,及时升级到最新版本,并采取额外的安全措施,是防止“DrupalgeddonSQL注入漏洞利用的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值