Drupal漏洞复现：CVE-2019-6341

近期遇到Drupal漏洞，研究了一下，给大家分享一篇复现，望共鸣

前言：

Vulhub是一个基于docker和docker-compose的漏洞环境集合，进入对应目录并执行一条语句即可启动一个全新的漏洞环境，让漏洞复现变得更加简单，让安全研究者更加专注于漏洞原理本身。

好哥哥，你等会，你刚才讲的docker我听了个大概，这docker-compose又是啥玩意啊？

docker-compose是用python写的一个docker容器管理工具，可以一键启动多个容器、可以一键日卫星等等功能，假的假的别信！

我们需要先下载漏洞镜像，然后再配置端口映射运行，或者有其它操作，把所有的这些操作都写在docker-compose的配置文件里，我们就可以运行docker-compose来一键执行这些操作，说白了就是方便。

Vulhub下载地址：https://github.com/vulhub/vulhub

漏洞简介：

漏洞编号：CVE-2019-6341，影响的是7.65之前的Drupal 7版本； 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本，可进行XSS攻击。

Drupal诞生于2000年，是一个基于PHP语言编写的开发型CMF（内容管理框架）。

环境启动：

下载好Vulhub之后，我们来到漏洞所在的文件夹，使用命令启动环境，然后进行相应的配置。

来到漏洞所在文件夹

先提升为管理员权限，使用：

sudo su

然后进入对应漏洞的文件夹，启动漏洞环境：

docker-compose up -d

 

查看正在运行的容器环境：

docker ps

 

映射到了8080端口，浏览器输入：ip:8080 ，即可访问。

前面几步默认，直接next，然后需要安装数据库，我们选择 sqlite 数据库