Drupal

Discovery

메타 확인

curl https://www.drupal.org/ | grep 'content="Drupal'

노드: Drupal 은 노드를 사용하여 콘텐츠를 인덱싱합니다. 노드는 블로그 게시물, 설문 조사, 기사 등 어떤 것이든 포함할 수 있습니다. 페이지 URI는 일반적으로 /node/<nodeid> 형식입니다.

curl drupal-site.com/node/1

열거

버전

/CHANGELOG.txt 확인

curl -s http://drupal-site.local/CHANGELOG.txt | grep -m2 ""

Drupal 7.57, 2018-02-21

Note

최신 Drupal 설치는 기본적으로 CHANGELOG.txt 및 README.txt 파일에 대한 접근을 차단합니다.

사용자 열거

Drupal은 기본적으로 세 가지 유형의 사용자를 지원합니다:

Administrator: 이 사용자는 Drupal 웹사이트에 대한 완전한 제어 권한을 가지고 있습니다.
Authenticated User: 이 사용자들은 웹사이트에 로그인하여 권한에 따라 기사 추가 및 편집과 같은 작업을 수행할 수 있습니다.
Anonymous: 모든 웹사이트 방문자는 익명으로 지정됩니다. 기본적으로 이 사용자들은 게시물을 읽는 것만 허용됩니다.

사용자를 열거하려면:

사용자 수 얻기: /user/1, /user/2, /user/3...에 접근하여 사용자가 존재하지 않는다는 오류가 반환될 때까지 계속합니다.
등록: /user/register에 접근하여 사용자 이름을 생성해 보세요. 이름이 이미 사용 중이라면 서버의 오류로 표시됩니다.
비밀번호 재설정: 사용자의 비밀번호를 재설정해 보세요. 사용자가 존재하지 않으면 오류 메시지에 명확히 표시됩니다.

숨겨진 페이지

**/node/FUZZ**를 살펴보아 새로운 페이지를 찾으세요. 여기서 **FUZZ**는 숫자입니다(예: 1에서 1000까지).

설치된 모듈 정보

#From https://twitter.com/intigriti/status/1439192489093644292/photo/1
#Get info on installed modules
curl https://example.com/config/sync/core.extension.yml
curl https://example.com/core/core.services.yml

# Download content from files exposed in the previous step
curl https://example.com/config/sync/swiftmailer.transport.yml

자동 도구

droopescan scan drupal -u http://drupal-site.local

RCE

Drupal 웹 콘솔에 접근할 수 있는 경우 RCE를 얻기 위해 다음 옵션을 확인하세요:

{{#ref}} drupal-rce.md {{#endref}}

From XSS to RCE

Drupalwned: XSS를 RCE 또는 기타 중요한 취약점으로 승격시키는 Drupal Exploitation Script. 자세한 내용은 이 게시물을 확인하세요. Drupal 버전 7.X.X, 8.X.X, 9.X.X 및 10.X.X에 대한 지원을 제공하며 다음을 허용합니다:
Privilege Escalation: Drupal에서 관리 사용자를 생성합니다.
(RCE) Upload Template: Drupal에 백도어가 있는 사용자 정의 템플릿을 업로드합니다.

Post Exploitation

Read settings.php

find / -name settings.php -exec grep "drupal_hash_salt\|'database'\|'username'\|'password'\|'host'\|'port'\|'driver'\|'prefix'" {} \; 2>/dev/null

DB에서 사용자 덤프하기

mysql -u drupaluser --password='2r9u8hu23t532erew' -e 'use drupal; select * from users'