Drupal 远程代码执行漏洞（CVE-2019-6339）

声明

好好学习，天天向上

漏洞描述

Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper（PHP）存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。

影响范围

Drupal core 7.62之前的7.x版本

8.6.6之前的8.6.x版本

8.5.9之前的8.5.x版本

复现过程

这里使用8.5.0版本

使用vulhub

/app/vulhub-master/drupal/CVE-2019-6339

使用docker启动

docker-compose build
docker-compose up -d

启动后进入docker，需要改一些东西，不然安装不成功，进入docker后（默认在/var/www/html下），执行

mkdir sites/default/files
cp ./sites/default/default.settings.php ./sites/default/settings.php
chown -R www-data:www-data ../html/

访问，就不会报错了

http://192.168.239.129:8080

将会看到drupal的安装页面，一路默认配置下一步安装。因为没有mysql环境，所以安装的时候可以选择sqlite数据库。

安装完成后，编辑安装时所创建的用户的资料，上传头像中，上传POC中zip解开后的图片

POC地址

https://github.com/thezdi/PoC/blob/master/Drupal/drupal_xss_rce.zip

Drupal 的图片默认存储位置为 /sites/default/files/pictures//，默认存储名称为其原来的名称，所以之后在利用漏洞时，可以知道上传后的图片的具体位置。

访问 ，在 Temporary directory 处输入之前上传的图片路径，示例为 phar://./sites/default/files/pictures/2020-12/blog-ZDI-CAN-7232-cat.jpg，文件路径中日期是会改变的，可以进docker里面find一下，我就是find出来的，保存后将触发该漏洞。如下图所示，触发成功。

http://192.168.239.129:8080/admin/config/media/file-system

关闭镜像（每次用完后关闭）

docker-compose down

docker-compose常用命令

拉镜像（进入到vulhub某个具体目录后）

docker-compose build
docker-compose up -d

镜像查询（查到的第一列就是ID值）

docker ps -a

进入指定镜像里面（根据上一条查出的ID进入）

docker exec -it ID /bin/bash

关闭镜像（每次用完后关闭）

docker-compose down