• 影响软件:Drupal
  • 方式:phar反序列化RCE
  • 效果:任意命令执行
  • drupal 8.5.0的环境

如下图所示,先使用管理员用户上传头像,头像图片为构造好的 PoC

头像图片poc

如下图所示,先使用管理员用户上传头像,头像图片为构造好的 PoC

查看下图片的位置

Drupal 的图片默认存储位置为 /sites/default/files/pictures/<YYYY-MM>/,默认存储名称为其原来的名称,所以之后在利用漏洞时,可以知道上传后的图片的具体位置。

访问 http://127.0.0.1:8080/admin/config/media/file-system,在 Temporary directory 处输入之前上传的图片路径,示例为 phar://./sites/default/files/pictures/2020-04/blog-ZDI-CAN-7232-cat.jpg,保存后将触发该漏洞。如下图所示,触发成功。

用c32asm可以修改图片poc代码

这里执行的是一条很简单的命令,稍微替换一下,比如ps -aux,此时是7个字节数,要把s对应的字节数目改成7

大概就这些……

说点什么
支持Markdown语法
好耶,沙发还空着ヾ(≧▽≦*)o
Loading...