# Drupal
Aprende hacking en AWS de cero a h茅roe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCI脫N**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colecci贸n de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **脷nete al** 馃挰 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **s铆gueme** en **Twitter** 馃惁 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
## Descubrimiento
* Verifica **meta**
```bash
curl https://www.drupal.org/ | grep 'content="Drupal'
```
* **Node**: Drupal **indexa su contenido usando nodos**. Un nodo puede **contener cualquier cosa** como una entrada de blog, encuesta, art铆culo, etc. Las URI de las p谩ginas suelen tener la forma `/node/`.
```bash
curl drupal-site.com/node/1
```
## Enumeraci贸n
Drupal soporta **tres tipos de usuarios** por defecto:
1. **`Administrator`**: Este usuario tiene control completo sobre el sitio web de Drupal.
2. **`Authenticated User`**: Estos usuarios pueden iniciar sesi贸n en el sitio web y realizar operaciones como a帽adir y editar art铆culos basados en sus permisos.
3. **`Anonymous`**: Todos los visitantes del sitio web son designados como an贸nimos. Por defecto, a estos usuarios solo se les permite leer publicaciones.
### Versi贸n
* Verificar `/CHANGELOG.txt`
```bash
curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""
Drupal 7.57, 2018-02-21
```
{% hint style="info" %}
Las instalaciones m谩s recientes de Drupal por defecto bloquean el acceso a los archivos `CHANGELOG.txt` y `README.txt`.
{% endhint %}
### Enumeraci贸n de nombres de usuario
#### Registro
En _/user/register_ solo intenta crear un nombre de usuario y si el nombre ya est谩 tomado se notificar谩:
.png>)
#### Solicitar nueva contrase帽a
Si solicitas una nueva contrase帽a para un nombre de usuario existente:
.png>)
Si solicitas una nueva contrase帽a para un nombre de usuario inexistente:
.png>)
### Obtener n煤mero de usuarios
Accediendo a _/user/\_ puedes ver el n煤mero de usuarios existentes, en este caso es 2 ya que _/users/3_ devuelve un error de no encontrado:
.png>)
 (1) (1).png>)
### P谩ginas ocultas
**Fuzz `/node/$` donde `$` es un n煤mero** (de 1 a 500 por ejemplo).\
Podr铆as encontrar **p谩ginas ocultas** (test, dev) que no est谩n referenciadas por los motores de b煤squeda.
#### Informaci贸n de m贸dulos instalados
```bash
#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml
# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml
```
### Autom谩tico
```bash
droopescan scan drupal -u http://drupal-site.local
```
## RCE
### Con el M贸dulo PHP Filter
{% hint style="warning" %}
En versiones anteriores de Drupal **(antes de la versi贸n 8)**, era posible iniciar sesi贸n como administrador y **habilitar el m贸dulo `PHP filter`**, que "Permite que se eval煤en fragmentos/c贸digos PHP incrustados."
{% endhint %}
Necesitas que el **plugin php est茅 instalado** (compru茅balo accediendo a _/modules/php_ y si devuelve un **403** entonces, **existe**, si **no se encuentra**, entonces el **plugin php no est谩 instalado**)
Ve a _Modules_ -> (**Marca**) _PHP Filter_ -> _Guardar configuraci贸n_
 (1).png>)
Luego haz clic en _A帽adir contenido_ -> Selecciona _P谩gina b谩sica_ o _Art铆culo_ -> Escribe _shellcode php en el cuerpo_ -> Selecciona _C贸digo PHP_ en _Formato de texto_ -> Selecciona _Vista previa_
 (1).png>)
Finalmente, solo accede al nodo reci茅n creado:
```bash
curl http://drupal-site.local/node/3
```
### Instalar el M贸dulo PHP Filter
A partir de la versi贸n **8 en adelante, el** [**m贸dulo PHP Filter**](https://www.drupal.org/project/php/releases/8.x-1.1) **no est谩 instalado por defecto**. Para aprovechar esta funcionalidad, tendr铆amos que **instalar el m贸dulo nosotros mismos**.
1. Descarga la versi贸n m谩s reciente del m贸dulo desde el sitio web de Drupal.
1. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
2. Una vez descargado, ve a **`Administraci贸n`** > **`Informes`** > **`Actualizaciones disponibles`**.
3. Haz clic en **`Examinar`**`,` selecciona el archivo desde el directorio donde lo descargamos y luego haz clic en **`Instalar`**.
4. Una vez instalado el m贸dulo, podemos hacer clic en **`Contenido`** y **crear una nueva p谩gina b谩sica**, de manera similar a como lo hicimos en el ejemplo de Drupal 7. De nuevo, aseg煤rate de **seleccionar `C贸digo PHP` del desplegable `Formato de texto`**.
### M贸dulo con puerta trasera
Se puede crear un m贸dulo con puerta trasera **a帽adiendo un shell a un m贸dulo existente**. Los m贸dulos se pueden encontrar en el sitio web drupal.org. Escojamos un m贸dulo como [CAPTCHA](https://www.drupal.org/project/captcha). Despl谩zate hacia abajo y copia el enlace para el archivo tar.gz [archivo](https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz).
* Descarga el archivo y extrae su contenido.
```
wget --no-check-certificate https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz
```
* Crea una **PHP web shell** con el contenido:
```php
```
* A continuaci贸n, necesitamos crear un archivo **`.htaccess`** para darnos acceso a la carpeta. Esto es necesario ya que Drupal niega el acceso directo a la carpeta **`/modules`**.
```html
RewriteEngine On
RewriteBase /
```
* La configuraci贸n anterior aplicar谩 reglas para la carpeta / cuando solicitemos un archivo en /modules. Copia ambos archivos a la carpeta captcha y crea un archivo.
```bash
mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/
```
* Suponiendo que tenemos **acceso administrativo** al sitio web, haz clic en **`Manage`** y luego en **`Extend`** en la barra lateral. A continuaci贸n, haz clic en el bot贸n **`+ Install new module`** y seremos llevados a la p谩gina de instalaci贸n, como `http://drupal-site.local/admin/modules/install` Navega hasta el archivo comprimido del Captcha con puerta trasera y haz clic en **`Install`**.
* Una vez que la instalaci贸n tenga 茅xito, navega a **`/modules/captcha/shell.php`** para ejecutar comandos.
## Post Explotaci贸n
### Leer settings.php
```
find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null
```
### Volcar usuarios de la DB
```
mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'
```
## Referencias
* [https://academy.hackthebox.com/module/113/section/1209](https://academy.hackthebox.com/module/113/section/1209)
Aprende a hackear AWS de cero a h茅roe con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
* Si quieres ver a tu **empresa anunciada en HackTricks** o **descargar HackTricks en PDF**, consulta los [**PLANES DE SUSCRIPCI脫N**](https://github.com/sponsors/carlospolop)!
* Consigue el [**merchandising oficial de PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubre [**La Familia PEASS**](https://opensea.io/collection/the-peass-family), nuestra colecci贸n de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **脷nete al** 馃挰 [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **s铆gueme** en **Twitter** 馃惁 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Comparte tus trucos de hacking enviando PRs a los repositorios de github de** [**HackTricks**](https://github.com/carlospolop/hacktricks) y [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).