CVE-2019-6339(Drupal 远程代码执行漏洞) 复现

最新推荐文章于 2024-01-04 20:54:32 发布
VIP文章 最新推荐文章于 2024-01-04 20:54:32 发布
阅读量790 收藏
点赞数
文章标签: 渗透测试 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45742511/article/details/114979745
版权

CVE-2019-6339(Drupal 远程代码执行漏洞) 复现

环境由vuhlub+docker搭建。

Drupal

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成;Drupal是一套开源的内容管理平台,拥有多种功能,可以用来建设从个人网站到大型社区网站。

网站搭建

访问http://your-ip:8080/,进行环境搭建:
在这里插入图片描述
这里要选择英文,然后默认下一步。

数据库选择sqlite:
在这里插入图片描述

搭建完成:

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2019-6339 Drupal 远程代码执行漏洞
m0_48520508的博客
01-15 796
0x00简介 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。Drupal是用作建设网站的。它是一个高度模块化,开源的web内容管理框架,它重点建立在合作之上的。它是一个可扩展的,适应标准的,并努力保持简洁代码和较小脚本的系统。Drupal 发布版中包含基本的核心功能,其他的额外功能可通过安装模块来获得。Drupal被设计为可被定制的,但是定制是通过覆写核心功能或者增加模块来完成的,而不是修改核心组件中的代码。它同样成功
Drupal 远程代码执行漏洞CVE-2019-6339
limb0的博客
07-04 8962
Drupal 远程代码执行漏洞CVE-2019-6339) 一、漏洞介绍 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞远程攻击者可利用该漏洞执行任意的php代码。 二、漏洞危害 远程代码执行。 三、漏洞验证 环境搭建: 实验环境 系统 IP地址 攻击
Drupal 远程代码执行漏洞CVE-2019-6339)简单复现
小小猪的博客
11-15 1449
Drupal 远程代码执行漏洞CVE-2019-6339)简单复现 漏洞简介: Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞远程攻击者可利用该漏洞执行任意的php代码 影响版本: Drupal core 7.62之前的7.x版本、8.6.6之前的8.6..
Drupal 远程代码执行漏洞CVE-2019-6339漏洞分析
weixin_39811856的博客
01-19 476
简介 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 漏洞概述 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞远程攻击者可利用该漏洞执行任意的php代码。 在Drupal的机制中,有一个规则:如果出现同名文件,就会在文件名后面加上_0,_1,并且会递增。 例如: phar stream..
(环境搭建+复现) CVE-2019-6339 Drupal 远程代码执行漏洞
daxi0ng的博客
03-20 2916
CVE编号】 CVE-2019-6341 【漏洞名称】 Drupal XSS漏洞 1【靶标分类】 Web类型类靶标 2【影响版本】 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 3【漏洞分类】 XSS 4【漏洞等级】 中 5【漏洞简介】 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内...
Drupal 远程代码执行漏洞 CVE-2019-6339 漏洞复现
ADummy的博客
02-23 246
Drupal 远程代码执行漏洞CVE-2019-6339) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>信息被爆出 0x01漏洞介绍 ​ Drupal 是一款用量庞大的CMS,其7.0~7.31版本中存在一处无需认证的SQL漏洞。通过该漏洞,攻击者可以执行任意SQL语句,插入、修改管理员信息,甚至执行任意代码。 0x02漏洞复现 payload:thezdi/PoC ​ 环境启动后,访问 http://your-ip:8080/ 将会看到drupal的安装页面
Drupal远程代码执行漏洞CVE-2019-6339
weixin_46411728的博客
08-25 2505
Drupal 远程代码执行漏洞CVE-2019-6339
drupal远程代码执行 (CVE-2018-7600)漏洞学习与复现
seek_2022的博客
12-17 3988
CVE-2018-7600漏洞学习与复现
drupal漏洞复现
最新发布
qq_45230030的博客
01-04 684
drupal cms 漏洞复现
Drupal 远程代码执行漏洞复现CVE-2018-7602)
Tauil的博客
08-08 869
使用parse_str,并存入options,还需要通过其他步骤来触发漏洞。的输入来处理请(GET,POST,COOKIE,REQUEST)中数据。建立vulhub/drupal/CVE-2018-7602/环境。访问http://靶机IP/shell.php即可看到新建的网页。使用以下poc.py,与官网不同的是强制定义命令为。对CVE-2018-7600漏洞的补丁通过过滤带有。会导致输入错误等等原因,所以进行了一点修改。中的URL进行URL编码,当对URL中的。形式的请求,发起请求需要对。...
[Drupal]CVE-2019-6339 BUUCTF
krysyal的博客
03-29 217
[Drupal]CVE-2019-6339 参考文档 前期准备还是和之前一样,语言选english,因为没有mysql环境,所以安装的时候可以选择sqlite数据库,其他默认下一步 利用 找到管理员资料头像上传处 Drupal 的图片默认存储位置为 /sites/default/files/pictures//,默认存储名称为其原来的名称 /admin/config/media/file-system处设置临时目录 phar://./sites/default/files/pictures/202
CVE-2019-6339 复现
SopRomeo的博客
03-13 285
影响版本 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本
Drupal漏洞复现CVE-2019-6341
weixin_59086772的博客
12-30 2154
近期遇到Drupal漏洞,研究了一下,给大家分享一篇复现,望共鸣 前言: Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 好哥哥,你等会,你刚才讲的docker我听了个大概,这docker-compose又是啥玩应啊? docker-compose是用python写的一个docker容器管理工具,可以一键启动多个容器、可以一键日卫星。。。。。。假的假的,
Drupal 远程代码执行漏洞CVE-2019-6339复现
锋刃科技的博客
12-22 1379
简介 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 漏洞概述 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞远程攻击者可利用该漏洞执行任意的php代码。 环境搭建 进入目录 cd vulhub-master/drupal/CVE-2019-6339/ 进行安装 docker-co...
"drupal < 7.32 \"drupalgeddon\" sql injection vulnerability (cve-2014-3704)漏洞"
10-28
Drupal <7.32版本中存在一个名为“Drupalgeddon”的SQL注入漏洞漏洞编号为CVE-2014-3704。 SQL注入是一种常见的网络安全漏洞,它允许攻击者通过在输入中注入恶意的SQL代码来干扰或绕过应用程序的数据库查询。在Drupal版本7.32以前,因为对用户输入的处理不完善,攻击者可以通过特殊构造的输入来执行恶意的SQL操作。 在Drupalgeddon漏洞中,攻击者可以利用这个漏洞执行各种恶意的操作,包括获取敏感数据、篡改或删除数据库中的数据,甚至完全控制受影响的Drupal网站。 为了修复这个漏洞Drupal开发团队推出了补丁程序,所有受影响的用户都被建议尽快升级到Drupal的7.32版本或更高的版本。升级到最新版本可以修复这个漏洞,并增强系统的安全性。 此外,通过使用Web应用程序防火墙(WAF)或其他安全性插件,可以进一步增强对SQL注入漏洞的保护。这些插件可以根据已知的攻击模式和行为规则来检测和阻止SQL注入攻击尝试。 总而言之,对于Drupal <7.32版本的用户,及时升级到最新版本,并采取额外的安全措施,是防止“Drupalgeddon” SQL注入漏洞被利用的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值