1.了解CVE-2019-6339漏洞原理 2.了解CVE-2019-6339漏洞危害 3.掌握CVE-2019-6339漏洞的修复方式 三、实验步骤 1.启动靶场,查看实验环境; 2.首先来注册一个账号先,进行访问,下载poc; 3.进入利用页面。 四、修复方式 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.drupal.org/sa-core-2019-002...
2.下载完成后使用xftp等传入到安装了docker和docker-compose的虚拟机中使用以下命令启动漏洞环境 cd vulhub-master/drupal/CVE-2019-6339/ #进入目录 docker-compose up -d #启动环境 3.在浏览器访问http://your-IP:8080,安装drupal时语言选择英文安装 4.在择数据库时选择用sqlite数据库安装,下一步配置网站信息,...
┌──(root㉿kali)-[~/vulhub/drupal/CVE-2019-6339] └─# docker-compose up -d 2、访问漏洞环境 环境启动后访问如下链接,将会看到drupal的安装页面。因为没有mysql环境,所以安装的时候可以选择sqlite数据库。其他配置均默认即可。 http://your-ip:8080/ 如图,成功安装。 3、复现完成后,删除漏洞环境 ┌─...
1.搭建环境docker 出于时间考虑,这里采用的是vulhub的镜像进行复现的地址 https://vulhub.org/#/environments/drupal/CVE-2019-6339/ 2.poc https://github.com/thezdi/PoC/blob/master/Drupal/drupal_xss_rce.zip 管理员修改资料处上传头像 3.先查看一下之前上传的图片的地址 Drupal的默认文件保存地址是/site/d...
Drupal 远程代码执行漏洞(CVE-2019-6339) Drupal远程代码执行漏洞(CVE-2019-6339)一、漏洞介绍Drupalcore是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupalcore7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中的内置pharstreamwrapper(PHP)存在远程代码执行漏洞。远程攻击者...
CVE-2019-6339(Drupal 远程代码执行漏洞) 复现 环境由vuhlub+docker搭建。 Drupal Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成;Drupal是一套开源的内容管理平台,拥有多种功能,可以用来建设从个人网站到大型社区网站。 网站搭建 访问http://your-ip:808....
今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“Drupal远程代码执行漏洞(CVE-2019-6339)”。 一、实验介绍 登录账号:dota/dota 1.漏洞简介 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中...
cd vulhub-master/drupal/CVE-2019-6339/ #进入目录 docker-compose up -d #启动环境 3.在浏览器访问http://your-IP:8080,安装drupal时语言选择英文安装 4.在择数据库时选择用sqlite数据库安装,下一步配置网站信息,注意要把自动检查更新关掉 5.点击下一步看到以下页面表示安装完成 ...
CVE-2019-6339 Drupal 远程代码执行漏洞 FreeBuf_352848 2021-01-15 10:03:58 394886 0x00简介 Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。Drupal是用作建设网站的。它是一个高度模块化,开源的web内容管理框架,它重点建立在合作之上的。它是一个可...
今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“Drupal远程代码执行漏洞(CVE-2019-6339)”。 一、实验介绍 登录账号:dota/dota 1.漏洞简介 Drupal core是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal core 7.62之前的7.x版本、8.6.6之前的8.6.x版本和8.5.9之前的8.5.x版本中...