1.搭建環境docker
出於時間考慮,這里采用的是vulhub的鏡像進行復現的地址 https://vulhub.org/#/environments/drupal/CVE-2019-6339/
2.poc
https://github.com/thezdi/PoC/blob/master/Drupal/drupal_xss_rce.zip
管理員修改資料處上傳頭像
3.先查看一下之前上傳的圖片的地址
Drupal的默認文件保存地址是/site/default/files/pictures/xxx-xxx/圖片名字
phar://./sites/default/files/pictures/2020-04/blog-ZDI-CAN-7232-cat.jpg
然后設置一個臨時目錄
4.查看效果
這里列舉出了/etc/passwd,證明是可以執行命令的
5. 簡單分析了一下poc,然后修改一下
這里執行的是一條很簡單的命令,稍微替換一下,比如ps -aux,此時是7個字節數,要把s對應的字節數目改成7
看一下結果
本來打算寫個馬的。。。但是www-data在這個html這個目錄下權限是如下
aaa.txt是通過rce在www-data權限下的touch命令創建的,aa則是root用戶創建的
-rw-r--r-- 1 root root 43 Apr 4 07:55 aa.txt -rw-r--r-- 1 www-data www-data 0 Apr 4 08:05 aaa.txt
有點鬧不明白,既然命令可以執行,為什么寫不進去文件,打算重新看看,后面再來填坑
參考文章:
https://vulhub.org/#/environments/drupal/CVE-2019-6339/