Drupal 远程代码执行漏洞(CVE-2019-6339)

最新推荐文章于 2024-06-12 15:25:33 发布
最新推荐文章于 2024-06-12 15:25:33 发布
阅读量9k 收藏 3
点赞数 3
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/limb0/article/details/107119538
版权

Drupal 远程代码执行漏洞(CVE-2019-6339)

一、漏洞介绍

Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。

Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。

二、漏洞危害

远程代码执行。

三、漏洞验证

环境搭建:
实验环境 系统 IP地址
攻击机 win10 192.168.18.7
靶机 win10 192.168.18.7:8088

这里我使用Vulhub搭建环境:
执行如下命令启动drupal 8.5.0的环境: bash docker-compose up -d环境启动后,访问
http://your-ip:8088/(这里我修改了配置文件,默认是8080端口)
将会看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装

最低0.47元/天 解锁文章
limb0
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339)
qq_51577576的博客
02-20 537
[ vulhub漏洞复现篇 ] Drupal 远程代码执行漏洞CVE-2019-6339) Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码
drupal漏洞复现
qq_45230030的博客
01-04 898
drupal cms 漏洞复现
【紧急警示】Locked勒索病毒利用最新PHP远程代码执行漏洞大规模批量勒索!文末附详细加固方案
最新发布
2401_83062893的博客
06-12 1308
PHP是一门通用开源脚本语言,其语法借鉴吸收C、Java和Perl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。XAMPP是最流行的PHP开发环境,XAMPP是完全免费且易于安装的Apache发行版,其中包含MariaDB、PHP和Perl。XAMPP开放源码包的设置让安装和使用出奇容易,它以其广泛的应用范围在本地开发和测试领域备受赞誉。官网地址:https://www.apachefriends.org/zh_cn/index.html。
drupal远程代码执行 (CVE-2018-7600)漏洞学习与复现
seek_2022的博客
12-17 4378
CVE-2018-7600漏洞学习与复现
(环境搭建+复现) CVE-2019-6339 Drupal 远程代码执行漏洞
daxi0ng的博客
03-20 3080
【CVE编号】 CVE-2019-6341 【漏洞名称】 Drupal XSS漏洞 1【靶标分类】 Web类型类靶标 2【影响版本】 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 3【漏洞分类】 XSS 4【漏洞等级】 中 5【漏洞简介】 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内...
DRUPAL 8.x远程代码执行漏洞(CVE-2018-7600)
errorr0
07-28 1654
drupal命令执行
Drupal远程代码执行漏洞
longwanlian的博客
11-29 634
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由由内容管理系统和PHP开发框架共同构成,在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。2018年3月28日,Drupal Security Team官方发布公告称Drupal 6,7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用该漏洞执行恶意代码
漏洞复现-Drupal远程代码执行漏洞CVE-2018-7602)
qq_45751902的博客
10-23 2054
的多个子系统中存在一个远程执行代码漏洞。这可能允许攻击者利用 Drupal 站点上的多个攻击媒介,从而导致该站点受到威胁。此漏洞Drupal 核心 - 高度关键 - 远程代码执行 - SA-CORE-2018-002 有关。SA-CORE-2018-002 和此漏洞都在野外被利用。-c 后面接命令,紧随账号,密码。
Drupal远程代码执行漏洞CVE-2019-6340)
锋刃科技的博客
06-24 1606
前言 Drupal官方之前更新了一个非常关键的安全补丁,修复了因为接受的反序列化数据过滤不够严格,在开启REST的Web服务拓展模块的情况下,可能导致PHP代码执行的严重安全。 根据官方公告和自身实践,8.6.x或(<8.6.10)两种情况可能导致问题出现: RESTful Web Services拓展开启,并且启用了REST资源(默认配置即可),不需要区分GET,POST等方法即可完成攻击。 JSON:API服务模块开启,此服务尚未分析。 影响版本 Drupal < 8.6.1.
Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340)
07-10
使用docker-compose命令一步搭建Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340) 的漏洞环境
exploit-CVE-2016-10033:PHPMailer <5.2.18远程执行代码漏洞和易受攻击的容器
02-01
还有很多PHPMailer 5.2.18之前的版本存在一个漏洞,该漏洞可能导致远程代码执行(RCE)。 如果未设置Sender属性,则PHPMailer的isMail传输中的mailSend函数可能会允许远程攻击者将额外的参数传递给mail命令,从而...
[Vulnhub]Drupal7.3漏洞复现
qq_69209270的博客
10-07 280
cve-2014-3704主要判断是否有sql漏洞,后面操作全是靠kali中工具网站要学会利用kali中的工具,kali中工具很多,尤其是searchsploit工具,大部分cms漏洞都可以在上面找到。
Drupal远程代码执行漏(CVE-2019-6340)
qq_59975439的博客
06-10 1619
Drupal远程代码执行漏(CVE-2019-6340)
Drupal远程代码执行漏洞CVE-2019-6339)
weixin_46411728的博客
08-25 2604
Drupal 远程代码执行漏洞CVE-2019-6339)
CVE-2019-6339 Drupal 远程代码执行漏洞
m0_48520508的博客
01-15 810
0x00简介 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。Drupal是用作建设网站的。它是一个高度模块化,开源的web内容管理框架,它重点建立在合作之上的。它是一个可扩展的,适应标准的,并努力保持简洁代码和较小脚本的系统。Drupal 发布版中包含基本的核心功能,其他的额外功能可通过安装模块来获得。Drupal被设计为可被定制的,但是定制是通过覆写核心功能或者增加模块来完成的,而不是修改核心组件中的代码。它同样成功
drupal-cve2019-6340
05-25
Drupal-cve2019-6340是Drupal内容管理系统(CMS)的一个安全漏洞。它被标记为“严重”的漏洞,可以允许攻击者执行任意代码,从而完全控制受影响的Drupal网站。 该漏洞存在于Drupal 8.6.x版本和8.5.x版本中,如果未正确配置,攻击者可以通过发送特定的请求利用该漏洞。攻击者可以通过该漏洞远程执行代码,并访问受影响网站上的敏感信息。 Drupal团队已经发布了针对该漏洞的补丁程序,建议Drupal用户尽快升级到最新版本以避免受到攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值