目录
一. 漏洞原理
二. 影响版本
三. 漏洞环境搭建
四. 漏洞复现
一. 漏洞原理
Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用。Drupal安全团队披露了一个非常关键的漏洞,编号CVE--7600 ,Drupal对表单请求内容未做严格过滤,因此,这使得攻击者可能将恶意注入表单内容,此漏洞允许未经身份验证的攻击者在默认或常见的Drupal安装上执行远程代码执行。
二. 影响版本
Drupal 6.xDrupal 7.xDrupal 8.x三. 漏洞环境搭建
1. 漏洞环境搭建,使用vulhub的环境进行搭建,进入到相关目录,执行,docker-compose up -d 启动环境
传送门 -》docker以及vulhub的安装
2. 访问 ip:8080
3. 安装页面
看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。
最终是这样的
环境安装完之后是这样的
四. 漏洞复现
使用poc脚本进行验证
下载地址 -》CVE--7600
