Drupal

Reading time: 6 minutes

Discovery

• メタを確認する

curl https://www.drupal.org/ | grep 'content="Drupal'

• ノード: Drupal はノードを使用してコンテンツをインデックス化します。ノードはブログ投稿、投票、記事など、何でも保持できます。ページのURIは通常、/node/<nodeid>の形式です。

curl drupal-site.com/node/1

列挙

バージョン

• /CHANGELOG.txt を確認してください

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

ユーザー列挙

Drupalはデフォルトで3種類のユーザーをサポートしています：

1. Administrator: このユーザーはDrupalウェブサイトに対して完全な制御を持っています。
2. Authenticated User: これらのユーザーはウェブサイトにログインし、権限に基づいて記事の追加や編集などの操作を行うことができます。
3. Anonymous: すべてのウェブサイト訪問者は匿名として指定されます。デフォルトでは、これらのユーザーは投稿を読むことのみ許可されています。

ユーザーを列挙するには：

• ユーザー数を取得する: /user/1、/user/2、/user/3...にアクセスし、ユーザーが存在しないことを示すエラーが返されるまで続けます。
• レジストリ: /user/registerにアクセスし、ユーザー名を作成しようとすると、名前がすでに使用されている場合はサーバーからのエラーで示されます。
• パスワードリセット: ユーザーのパスワードをリセットしようとし、ユーザーが存在しない場合はエラーメッセージで明確に示されます。

隠しページ

**/node/FUZZを調べて新しいページを見つけます。ここでFUZZ**は数字（例えば1から1000まで）です。

インストールされたモジュール情報

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

自動ツール

droopescan scan drupal -u http://drupal-site.local

RCE

Drupalウェブコンソールにアクセスできる場合は、RCEを取得するためにこれらのオプションを確認してください：

Drupal RCE

From XSS to RCE

• Drupalwned: XSSをRCEまたはその他の重大な脆弱性に昇格させるDrupalエクスプロイトスクリプト。詳細についてはこの投稿を確認してください。Drupalバージョン7.X.X、8.X.X、9.X.X、10.X.Xをサポートし、次のことを可能にします：
• 特権昇格： Drupalに管理者ユーザーを作成します。
• (RCE) テンプレートのアップロード： Drupalにバックドアされたカスタムテンプレートをアップロードします。

Post Exploitation

Read settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

DBからユーザーをダンプする

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'