Drupal

Reading time: 5 minutes

发现

• 检查 meta

curl https://www.drupal.org/ | grep 'content="Drupal'

• 节点: Drupal 使用节点索引其内容。一个节点可以 包含任何内容，例如博客文章、投票、文章等。页面 URI 通常为 /node/<nodeid>。

curl drupal-site.com/node/1

枚举

版本

• 检查 /CHANGELOG.txt

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

用户名枚举

Drupal默认支持三种类型的用户：

1. Administrator：此用户对Drupal网站拥有完全控制权。
2. Authenticated User：这些用户可以登录网站并根据其权限执行添加和编辑文章等操作。
3. Anonymous：所有网站访问者被指定为匿名用户。默认情况下，这些用户仅被允许阅读帖子。

要枚举用户，您可以：

• 获取用户数量：只需访问/user/1、/user/2、/user/3...，直到返回一个错误，指示该用户不存在。
• 注册：访问/user/register并尝试创建一个用户名，如果该名称已被占用，服务器将返回错误指示。
• 重置密码：尝试重置用户的密码，如果用户不存在，错误消息中将清楚地指示。

隐藏页面

只需通过查看**/node/FUZZ来查找新页面，其中FUZZ**是一个数字（例如从1到1000）。

已安装模块信息

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

自动化工具

droopescan scan drupal -u http://drupal-site.local

RCE

如果您可以访问Drupal web控制台，请检查这些选项以获取RCE：

Drupal RCE

从XSS到RCE

• Drupalwned: Drupal利用脚本，将XSS提升到RCE或其他关键漏洞。有关更多信息，请查看这篇文章。它提供对Drupal版本7.X.X、8.X.X、9.X.X和10.X.X的支持，并允许：
• 权限提升： 在Drupal中创建一个管理员用户。
• (RCE) 上传模板： 上传自定义的后门模板到Drupal。

后期利用

阅读settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

从数据库中导出用户

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'