drupal7 cve-2018-7600任意代码执行利用

Author: l3m0n@0Kee

对于cve-2018-7600的利用,比较出名的应该是Drupalgeddon2,其中对7的利用是使用了passthru函数执行命令,但是有一个问题便是,你会发现除了能执行命令,好像做不了其他的。下面将剖析这个问题,另外如果disable_functions下将命令函数全部禁用时,又该如何,所以如果能有一个无限制的任意代码执行将会更棒。

首先分析一下最终漏洞触发原因:

includes/common.inc:6084

可以看到exec进入了$function($elements['#children'], $elements);,然后执行了命令,但是这里面有一个问题就是第二个参数不可控,并且是一个数组,导致没法执行。

看一下passthru的原型:

void passthru ( string $command [, int &$return_var ] )

第二参数是一个引用类型,传入什么都会被改变 (感谢Ph师傅的解答) ,所以不受影响。

当传入assert去执行代码,便就执行失败,返回的为null

所以需要找一个新的利用,翻了一下drupal的文件,发现一处挺适合.

includes/common.inc:4677

foreach ($elements['#attached'] as $callback => $options) {
    if (function_exists($callback)) {
      foreach ($elements['#attached'][$callback] as $args) {
        call_user_func_array($callback, $args);
      }
    }
}

首先向#attached注入一段数据.

可以看到最后传入call_user_func_array里面的数据是比较干净的.

最后验证:

posted @ 2018-09-07 23:12 l3m0n 阅读(...) 评论(...)  编辑 收藏