记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Drupal 爆远程代码执行漏洞,腾讯云网站管家率先发布应对策略

漏洞概要:早前,知名 CMS 系统 Drupal 被官方宣称存在严重安全漏洞(漏洞编号:CVE-2018-7600)。风险等级:官方定级为 “Highly Critical” 。影响范围:Drupal 7.X、8.X 版本中的多个子系统。漏洞危害Drupal 是全球三大开源内容管理系统 CMS 平台之一,被广泛应用于构造各种不同应用的网站项目。攻击者利用该漏洞对受影响版本的 Drupal 网站发动攻击,无需登录认证即可直接执行任意命令,包括下载重要文件,修改页面,上传 Webshll,篡改页面或进行挖矿等行为。最终可接管站点,而管理员还毫不知情。4月13日,网上公开了针对该漏洞的攻击命令。以下是云鼎实验室对该漏洞的详细
发布时间:2018-04-18 12:20 | 阅读:10432 | 评论:0 | 标签:技术 行业 Drupal漏洞 漏洞

【漏洞分析】Drupal远程代码执行漏洞(CVE-2018-7600)分析

阅读: 273近日,流行的开源内容管理框架Drupal曝出一个远程代码执行漏洞,漏洞威胁等级为高危,攻击者可以利用该漏洞执行恶意代码,导致网站完全被控制。漏洞对应的CVE编号为CVE-2018-7600。本篇文章对Drupal 8 – CVE-2017-7600漏洞进行了详细分析。这个漏洞看起来是一个漏洞,其实我认为,它是由两个小的鸡肋问题组成的。具体是什么呢?文章目录漏洞分析总结:漏洞分析这个漏洞的根本原因出在drupal对表单的渲染上:可见,在drupal中,我们不需要直接写html表单,而是先创建一个数组,表单呈现引擎通过位于drupalcorelibDrupalCoreFormFormBuilder.php文件中的buildForm方法构造出一个名为$form表单,然后成对应的html表单进
发布时间:2018-04-15 21:45 | 阅读:15284 | 评论:0 | 标签:威胁通报 CVE-2018-7600 drupal漏洞 Drupal远程代码执行漏洞 漏洞

Drupal Coder模块命令执行漏洞分析

0x01:前言 这个漏洞是drupal的coder模块中,对dir参数没有过滤,导致的命令执行,其实挺早就看到这个洞了,一直也没时间去写,现在已经不新鲜了,安恒的博客上分析已经有了,他们是从poc角度分析的,我这里就对这个漏洞从网站代码的角度详细说一下。 0x02:漏洞分析 在文件sites/all/modules/coder/coder_upgrade/scripts/coder_upgrade.run.php中 一开始就对$path进行赋值,下面所有的操作都是跟$path有关的,我们来看看$path是怎么来的,跟进extract_arguments()函数 发现$path其实是$_GET[‘file’],这个file参数是我们可控的,看看$path接下来怎么用到了,接着看 这里代码的本意应该是取一个已
发布时间:2016-08-24 23:40 | 阅读:63479 | 评论:0 | 标签:代码审计 Coder Drupal Drupal漏洞 poc 模块命令执行 漏洞分析 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云