如何进行Drupal远程代码执行漏洞CVE-2019-6339分析,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。Drupal是用作建设网站的。它是一个高度模块化,开源的web内容管理框架,它重点建立在合作之上的。它是一个可扩展的,适应标准的,并努力保持简洁代码和较小脚本的系统。Drupal 发布版中包含基本的核心功能,其他的额外功能可通过安装模块来获得。Drupal被设计为可被定制的,但是定制是通过覆写核心功能或者增加模块来完成的,而不是修改核心组件中的代码。它同样成功的将内容管理和内容表示两者分离。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置phar stream wrapper(PHP)存在远程代码执行漏洞。远程攻击者可利用该漏洞执行任意的php代码。Drupal core 7.62之前的7.x版本8.6.6之前的8.6.x版本8.5.9之前的8.5.x版本1.本次漏洞环境使用vulhub中得docker搭建下载地址:https://github.com/vulhub/vulhub2.下载完成后使用xftp等传入到安装了docker和docker-compose的虚拟机中使用以下命令启动漏洞环境cd vulhub-master/drupal/CVE-2019-6339/ #进入目录docker-compose up -d #启动环境3.在浏览器访问http://your-IP:8080,安装drupal时语言选择英文安装4.在择数据库时选择用sqlite数据库安装,下一步配置网站信息,注意要把自动检查更新关掉5.点击下一步看到以下页面表示安装完成1.在浏览器输入http://your-i免费云主机域名p:8080/user/1/edit,进入用户上传头像处,在要上传的图片中构造poc注:drupal的图片默认存储位置为 /sites/default/files/pictures//
R1(conf)# no cdp run #在边界路由器上关闭CDP协议,防止非法用户通过CDP检测内部网络R1(conf)# no service tcp-small-service #echo 17; chargen 19; daytime 13;R1(c…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
