# Drupal
Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)! Andere Möglichkeiten, HackTricks zu unterstützen: * Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)! * Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com) * Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family) * **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories einreichen.
{% embed url="https://websec.nl/" %} ## Discovery * Überprüfen Sie **meta** ```bash curl https://www.drupal.org/ | grep 'content="Drupal' ``` * **Knoten**: Drupal **indexiert seinen Inhalt mit Knoten**. Ein Knoten kann **alles enthalten**, wie z.B. einen Blogbeitrag, eine Umfrage, einen Artikel usw. Die Seiten-URIs haben in der Regel die Form `/node/`. ```bash curl drupal-site.com/node/1 ``` ## Enumeration Drupal unterstützt standardmäßig **drei Arten von Benutzern**: 1. **`Administrator`**: Dieser Benutzer hat die vollständige Kontrolle über die Drupal-Website. 2. **`Authentifizierter Benutzer`**: Diese Benutzer können sich auf der Website anmelden und Operationen wie das Hinzufügen und Bearbeiten von Artikeln basierend auf ihren Berechtigungen durchführen. 3. **`Anonym`**: Alle Website-Besucher werden als anonym bezeichnet. Standardmäßig dürfen diese Benutzer nur Beiträge lesen. ### Version * Überprüfen Sie `/CHANGELOG.txt` ```bash curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 "" Drupal 7.57, 2018-02-21 ``` {% hint style="info" %} Neuere Installationen von Drupal blockieren standardmäßig den Zugriff auf die Dateien `CHANGELOG.txt` und `README.txt`. {% endhint %} ### Benutzername Aufzählung #### Registrieren Unter _/user/register_ versuchen Sie einfach, einen Benutzernamen zu erstellen, und wenn der Name bereits vergeben ist, wird dies angezeigt: ![](<../../.gitbook/assets/image (328).png>) #### Neues Passwort anfordern Wenn Sie ein neues Passwort für einen vorhandenen Benutzernamen anfordern: ![](<../../.gitbook/assets/image (903).png>) Wenn Sie ein neues Passwort für einen nicht vorhandenen Benutzernamen anfordern: ![](<../../.gitbook/assets/image (307).png>) ### Anzahl der Benutzer abrufen Durch den Zugriff auf _/user/\_ können Sie die Anzahl der vorhandenen Benutzer sehen, in diesem Fall sind es 2, da _/users/3_ einen Fehler "nicht gefunden" zurückgibt: ![](<../../.gitbook/assets/image (333).png>) ![](<../../.gitbook/assets/image (227) (1) (1) (1).png>) ### Versteckte Seiten **Fuzz `/node/$`, wobei `$` eine Zahl ist** (von 1 bis 500 zum Beispiel).\ Sie könnten **versteckte Seiten** (Test, Entwicklung) finden, die von den Suchmaschinen nicht referenziert werden. #### Installierte Module Informationen ```bash #From https://twitter.com/intigriti/status/1439192489093644292/photo/1 #Get info on installed modules curl https://example.com/config/sync/core.extension.yml curl https://example.com/core/core.services.yml # Download content from files exposed in the previous step curl https://example.com/config/sync/swiftmailer.transport.yml ``` ### Automatisch ```bash droopescan scan drupal -u http://drupal-site.local ``` ## RCE ### Mit PHP-Filter-Modul {% hint style="warning" %} In älteren Versionen von Drupal **(vor Version 8)** war es möglich, sich als Administrator anzumelden und das `PHP-Filter`-Modul zu aktivieren, das es ermöglicht, "eingebetteten PHP-Code/Snippets auszuwerten". {% endhint %} Sie benötigen das **Plugin PHP, das installiert sein muss** (überprüfen Sie dies, indem Sie auf _/modules/php_ zugreifen und wenn eine **403** zurückgegeben wird, dann **existiert es**, wenn **nicht gefunden**, dann ist das **Plugin PHP nicht installiert**) Gehen Sie zu _Module_ -> (**Überprüfen Sie**) _PHP-Filter_ -> _Konfiguration speichern_ ![](<../../.gitbook/assets/image (247) (1).png>) Klicken Sie dann auf _Inhalt hinzufügen_ -> Wählen Sie _Grundlegende Seite_ oder _Artikel_ -> Schreiben Sie _PHP-Shellcode im Body_ -> Wählen Sie _PHP-Code_ im _Textformat_ -> Wählen Sie _Vorschau_ ![](<../../.gitbook/assets/image (338).png>) Greifen Sie schließlich einfach auf den neu erstellten Knoten zu: ```bash curl http://drupal-site.local/node/3 ``` ### Installieren des PHP-Filter-Moduls Ab Version **8 und höher** wird das [**PHP-Filter**](https://www.drupal.org/project/php/releases/8.x-1.1) **Modul nicht mehr standardmäßig installiert**. Um diese Funktionalität zu nutzen, müssen wir **das Modul selbst installieren**. 1. Laden Sie die neueste Version des Moduls von der Drupal-Website herunter. ```bash wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz ``` 2. Nach dem Download gehen Sie zu **`Verwaltung`** > **`Berichte`** > **`Verfügbare Updates`**. 3. Klicken Sie auf **`Durchsuchen`**, wählen Sie die Datei aus dem Verzeichnis aus, in das wir sie heruntergeladen haben, und klicken Sie dann auf **`Installieren`**. 4. Nachdem das Modul installiert ist, können wir auf **`Inhalt`** klicken und **eine neue Grundseite erstellen**, ähnlich wie im Beispiel für Drupal 7. Stellen Sie erneut sicher, dass Sie **`PHP-Code` aus dem Dropdown-Menü `Textformat` auswählen**. ### Backdoored-Modul Ein backdoored Modul kann erstellt werden, indem **eine Shell zu einem vorhandenen Modul hinzugefügt wird**. Module können auf der drupal.org-Website gefunden werden. Wählen wir ein Modul wie [CAPTCHA](https://www.drupal.org/project/captcha) aus. Scrollen Sie nach unten und kopieren Sie den Link für das tar.gz [Archiv](https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz). * Laden Sie das Archiv herunter und extrahieren Sie dessen Inhalt. ``` wget --no-check-certificate https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz tar xvf captcha-8.x-1.2.tar.gz ``` * Erstellen Sie eine **PHP-Webshell** mit dem Inhalt: ```php ``` * Als nächstes müssen wir eine **`.htaccess`**-Datei erstellen, um uns Zugriff auf den Ordner zu verschaffen. Dies ist notwendig, da Drupal den direkten Zugriff auf den **`/modules`**-Ordner verweigert. ```html RewriteEngine On RewriteBase / ``` * Die oben genannte Konfiguration wird Regeln für den / Ordner anwenden, wenn wir eine Datei in /modules anfordern. Kopieren Sie beide dieser Dateien in den captcha-Ordner und erstellen Sie ein Archiv. ```bash mv shell.php .htaccess captcha tar cvf captcha.tar.gz captcha/ ``` * Angenommen, wir haben **administrativen Zugriff** auf die Website, klicken Sie auf **`Verwalten`** und dann auf **`Erweitern`** in der Seitenleiste. Klicken Sie anschließend auf die Schaltfläche **`+ Neues Modul installieren`**, und wir werden zur Installationsseite weitergeleitet, z. B. `http://drupal-site.local/admin/modules/install`. Navigieren Sie zum manipulierten Captcha-Archiv und klicken Sie auf **`Installieren`**. * Nach erfolgreicher Installation navigieren Sie zu **`/modules/captcha/shell.php`**, um Befehle auszuführen. ## Post-Exploitation ### settings.php lesen ``` find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null ``` ### Benutzer aus der Datenbank abrufen ``` mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users' ``` ## Referenzen * [https://academy.hackthebox.com/module/113/section/1209](https://academy.hackthebox.com/module/113/section/1209)
{% embed url="https://websec.nl/" %}
Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)! Andere Möglichkeiten, HackTricks zu unterstützen: * Wenn Sie Ihr **Unternehmen in HackTricks beworben sehen möchten** oder **HackTricks im PDF-Format herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)! * Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com) * Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family) * **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) Github-Repositories einreichen.