Drupal 遠程代碼執行漏洞（CVE-2019-6339）

Path drupal/CVE-2019-6339

• 影響軟件：Drupal
• 方式：phar反序列化RCE
• 參考鏈接：Drupal 1-click to RCE 分析
• 效果：任意命令執行

漏洞環境

執行如下命令啟動drupal 8.5.0的環境：

docker-compose up -d

環境啟動后，訪問 http://your-ip:8080/ 將會看到drupal的安裝頁面，一路默認配置下一步安裝。因為沒有mysql環境，所以安裝的時候可以選擇sqlite數據庫。

漏洞復現

如下圖所示，先使用管理員用戶上傳頭像，頭像圖片為構造好的 PoC，參考thezdi/PoC的PoC。

Drupal 的圖片默認存儲位置為 /sites/default/files/pictures/<YYYY-MM>/，默認存儲名稱為其原來的名稱，所以之后在利用漏洞時，可以知道上傳后的圖片的具體位置。

訪問 http://127.0.0.1:8080/admin/config/media/file-system，在 Temporary directory 處輸入之前上傳的圖片路徑，示例為 phar://./sites/default/files/pictures/2019-06/blog-ZDI-CAN-7232-cat_0.jpg，保存后將觸發該漏洞。如下圖所示，觸發成功。