Drupal漏洞复现:CVE-2019-6341

近期遇到Drupal漏洞,研究了一下,给大家分享一篇复现,望共鸣

前言:

Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。

好哥哥,你等会,你刚才讲的docker我听了个大概,这docker-compose又是啥玩意啊?

docker-compose是用python写的一个docker容器管理工具,可以一键启动多个容器、可以一键日卫星等等功能,假的假的别信!

我们需要先下载漏洞镜像,然后再配置端口映射运行,或者有其它操作,把所有的这些操作都写在docker-compose的配置文件里,我们就可以运行docker-compose来一键执行这些操作,说白了就是方便。

Drupal漏洞复现:CVE-2019-6341_第1张图片

Vulhub下载地址:https://github.com/vulhub/vulhub

漏洞简介:

漏洞编号:CVE-2019-6341,影响的是7.65之前的Drupal 7版本; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本,可进行XSS攻击。

Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。

环境启动:

下载好Vulhub之后,我们来到漏洞所在的文件夹,使用命令启动环境,然后进行相应的配置。

来到漏洞所在文件夹

先提升为管理员权限,使用:

sudo su

然后进入对应漏洞的文件夹,启动漏洞环境:

docker-compose up -d

Drupal漏洞复现:CVE-2019-6341_第2张图片 

查看正在运行的容器环境:

docker ps

Drupal漏洞复现:CVE-2019-6341_第3张图片

 

映射到了8080端口,浏览器输入:ip:8080 ,即可访问。

前面几步默认,直接next,然后需要安装数据库,我们选择 sqlite 数据库

Drupal漏洞复现:CVE-2019-6341_第4张图片

你可能感兴趣的:(安全,web安全,docker,渗透测试,安全漏洞)