作者:LoRexxar@知道創宇404實驗室
時間:2019年4月19日
原文鏈接:https://paper.seebug.org/897/
2019年4月11日,zdi博客公開了一篇A SERIES OF UNFORTUNATE IMAGES: DRUPAL 1-CLICK TO RCE EXPLOIT CHAIN DETAILED.
整個漏洞的各個部分沒什麼特別的,巧妙的是,攻擊者使用了3個漏洞+幾個小trick,把所有的漏洞鏈接起來卻成了一個還不錯的利用鏈,現在我們就來一起看看整個漏洞.
無後綴文件寫入
在Drupal的機制中,設定了這樣一條規則。
用戶上傳的圖片文件名將會被保留,如果出現文件名相同的情況,那麼文件名後面就會被跟上_0
,_1
依次遞增。
在Drupal中為了兼容各種編碼,在處理上傳文件名時,Drupal會對文件名對相應的處理,如果出現值小於0x20
的字元,那麼就會將其轉化為_
。