CVE-2018-7602 Drupal 远程代码执行漏洞复现
漏洞描述
Drupal是Drupal社区的一套使用PHP语言开发的开源内容管理系统。 此漏洞源于对编号为CVE-2018-7600的漏洞修复不完全,导致补丁被绕过,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。
环境搭建
同样的vulhub镜像搭建,这里不再演示
搭建完成如下
登陆部分漏洞,利用poc命令执行,参考:https://blog.51cto.com/u_14259144/2421816
其他命令执行漏洞
此外Drupal还有一系列命令执行漏洞,都可以尝试复现
drupal 代码执行 (CVE-2017-6920)
drupal 远程代码执行 (CVE-2019-6339)
drupal 代码执行 (CVE-2019-6340)
drupal 远程代码执行 (CVE-2018-7602)
drupal 远程代码执行 (CVE-2018-7600)