[ vulhub漏洞复现篇 ] Drupal XSS漏洞 (CVE-2019-6341)

最新推荐文章于 2024-01-04 20:54:32 发布
最新推荐文章于 2024-01-04 20:54:32 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: vulhub 文章标签: vulhub漏洞复现 Drupal XSS漏洞 CVE-2019-6341 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/129071303
版权
本文详细介绍了Drupal的XSS漏洞(CVE-2019-6341)的复现过程,包括环境搭建、漏洞描述、复现步骤以及修复方案。博主_PowerShell_分享了如何利用文件模块上传恶意文件触发XSS,同时提醒在复现后要记得关闭环境。
摘要由CSDN通过智能技术生成

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、漏洞编号

CVE-2019-6341

二、影响范围

Drupal <7.65 
Drupal <8.6.13 
Drupal <8.5.14

三、漏洞描述

Drupal是使用PHP语言编写的开源内容管理框架&#

了解本专栏 订阅专栏 解锁全文 超级会员免费看
_PowerShell
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
订阅专栏
cve-2019-6341漏洞复现
锋刃科技的博客
09-26 1535
简介 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成 影响版本 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 环境搭建 使用vulhub快速搭建环境 cd vulhub/drupal/CVE-2019-6341/ docker-compose up -d 访问your-ip:8080 ...
vulhub靶场漏洞复现——Django-XSS(CVE-2017-12794)
pigzlfa的博客
09-26 166
物理机访问8000端口,是一个404页面。刷新页面再次创建用户触发错误弹窗。
Drupal 远程代码执行漏洞CVE-2018-7602)漏洞复现
ADummy的博客
02-23 1025
Drupal 远程代码执行漏洞CVE-2018-7602) by ADummy 0x00利用路线 ​ poc直接打 0x01漏洞介绍 ​ 此漏洞源于对编号为CVE-2018-7600的漏洞修复不完全,导致补丁被绕过,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。 影响版本 Drupal < 7.58 Drupal < 8.3.9 Drupal < 8.4.6 Drupal < 8.5.1 0x02漏洞复现 exp地址:pi
(环境搭建+复现) CVE-2019-6341 Drupal XSS漏洞
daxi0ng的博客
03-20 2445
CVE编号】 CVE-2019-6341漏洞名称】 Drupal XSS漏洞 1【靶标分类】 Web类型类靶标 2【影响版本】 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 3【漏洞分类】 XSS 4【漏洞等级】 中 5【漏洞简介】 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内...
Drupal XSS漏洞 CVE-2019-6341 漏洞复现
ADummy的博客
02-24 1084
Drupal XSS漏洞CVE-2019-6341) by ADummy 0x00利用路线 ​ 利用文件上传的漏洞上传图片中包含js代码—>用户访问url—>触发xss 0x01漏洞介绍 ​ Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。 影响版本 Drupal <7.65 Drupal <8.6.13 Drupal <8.5.14 0x02漏洞复现 payloa
Drupal XSS漏洞CVE-2019-6341
EC_Carrot的博客
05-28 382
漏洞背景 DrupalDrupal社区的一套使用PHP语言开发的开源内容管理系统。 Drupal 7.65之前的7版本、8.6.13之前的8.6版本和8.5.14之前的8.5版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。 漏洞分析 详细分析可以参考:https://paper.seebug.org/897/ 漏洞复现漏洞需要利用drupal文件模块上传文件的漏洞,伪造一个图片文件,上传,文件的内容实际是一段HTML代码,内嵌JS,这样其他用户
vulhub学习文档-Drupal XSS漏洞
ploto_cs的博客
09-11 1073
Drupal XSS漏洞 一.漏洞介绍 (一)编号 CVE-2019-6341 (二)概述 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。 (三)影响版本 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 (四)漏洞要求 <= Durpal 8.6.6 服务端开启评论配图或者攻击者拥有author以上权限的账号 被
Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340)
07-10
使用docker-compose命令一步搭建Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340) 的漏洞环境
Drupalgeddon2:针对 Drupal v7.x + v8.x 的漏洞利用 (Drupalgeddon 2 CVE-2018-7600 SA-CORE-2018-002)
05-29
CVE-2018-7600 | Drupal 8.5.x < 8.5.1 / 8.4.x < 8.4.6 / 8.x < 8.3.9 / 7.x? < 7.58 / < 6.x? - 'Drupalgeddon2' RCE (SA-CORE-2018-002) ( ) 支持: Drupal < 8.3.9 / < 8.4.6 / < ...
Drupal XSS漏洞CVE-2019-6341漏洞复现
SUPER131110的博客
09-01 221
Cookies 资料窃取、会话劫持、钓鱼欺骗、网页挂马等)Drupal XSS漏洞CVE-2019-6341)通过文件模块或者子系统上传恶意文件触发XSS漏洞。涉及的版本或软件(CMS版本、浏览器版本等)重现攻击过程所需的 payload。- 简要解释漏洞产生的原因。ip地址+8080端口访问。打补丁,上设备,升级组件。
14 - vulhub - Django debug page XSS漏洞CVE-2017-12794)
易编橙 · 终身成长社群,相遇已是上上签!
10-25 699
Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架。 使用 Django,只要很少的代码,Python 的程序开发人员就可以轻松地完成一个正式网站所需要的大部分内容,并进一步开发出全功能的 Web 服务, Django 本身基于 MVC 模型,即 Model(模型)+ View(视图)+ Controller(控制器)设计模式,MVC 模式使后续对程序的修改和扩展简化,并且使程序某一部分的重复利用成为可能。
drupal远程代码执行 (CVE-2018-7600)漏洞学习与复现
seek_2022的博客
12-17 4502
CVE-2018-7600漏洞学习与复现
vulhub漏洞复现-jboss反序列化漏洞复现
weixin_45095113的博客
12-21 656
vulhub漏洞复现-jboss反序列化漏洞
drupal漏洞复现
qq_45230030的博客
01-04 930
drupal cms 漏洞复现
Drupal漏洞复现CVE-2019-6341
weixin_59086772的博客
12-30 2214
近期遇到Drupal漏洞,研究了一下,给大家分享一复现,望共鸣 前言: Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 好哥哥,你等会,你刚才讲的docker我听了个大概,这docker-compose又是啥玩应啊? docker-compose是用python写的一个docker容器管理工具,可以一键启动多个容器、可以一键日卫星。。。。。。假的假的,
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8375
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
drupal-cve2019-6340
最新发布
05-25
Drupal-cve2019-6340是Drupal内容管理系统(CMS)的一个安全漏洞。它被标记为“严重”的漏洞,可以允许攻击者执行任意代码,从而完全控制受影响的Drupal网站。 该漏洞存在于Drupal 8.6.x版本和8.5.x版本中,如果未...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值