Drupal 远程代码执行漏洞(CVE-2019-6339)
一、漏洞介绍
Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。
Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。
二、漏洞危害
远程代码执行。
三、漏洞验证
环境搭建:
实验环境 | 系统 | IP地址 |
---|---|---|
攻击机 | win10 | 192.168.18.7 |
靶机 | win10 | 192.168.18.7:8088 |
这里我使用Vulhub搭建环境:
执行如下命令启动drupal 8.5.0的环境:bash docker-compose up -d
环境启动后,访问
http://your-ip:8088/
(这里我修改了配置文件,默认是8080端口)
将会看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装