Drupal es un software de administración de contenido que se utiliza para crear muchos de los sitios web y aplicaciones que usa todos los días. Junto con sus características geniales, puede haber algunos riesgos relacionados con Drupal CMS. La versión obsoleta puede provocar un compromiso de seguridad en la aplicación web. Podemos probar el Drupal CMS que consta de sitios web aplicando un enfoque automatizado. La herramienta Drupwn es una herramienta automatizada desarrollada en el lenguaje Python que realiza enumeración y explotación en el dominio de destino. La herramienta consta de CVE que se pueden probar en el dominio de destino y se pueden explotar si la aplicación es vulnerable a él. La herramienta Drupwn está disponible en GitHub, es gratuita y de código abierto.
Hay dos modos disponibles en la herramienta Drupwn.
- Enumeración
- Explotación
1. Enumeración
- Realiza la enumeración de usuarios
- Realiza la enumeración de Nodes
- Realiza la enumeración de archivos predeterminados
- Realiza la enumeración del módulo
- Realiza la enumeración de temas
- Realiza soporte de Cookies
- Realiza el soporte de User-Agent
- Realiza soporte de autenticación básica
- Realiza el retraso de la solicitud
- Realiza rango de enumeración
- Realiza registro
2. Explotación
- Admite el comprobador de vulnerabilidades
- Admite el explotador CVE
Nota : asegúrese de tener Python instalado en su sistema, ya que esta es una herramienta basada en Python. Haga clic para verificar el proceso de instalación: pasos de instalación de Python en Linux
Instalación de la herramienta Drupwn en el sistema operativo Kali Linux
Paso 1 : use el siguiente comando para instalar la herramienta en su sistema operativo Kali Linux.
git clone https://github.com/immunIT/drupwn.git
Paso 2 : ahora use el siguiente comando para moverse al directorio de la herramienta. Tienes que moverte en el directorio para ejecutar la herramienta.
cd drupwn
Paso 3 : Estás en el directorio de Drupwn. Ahora debe instalar una dependencia de Drupwn usando el siguiente comando.
sudo pip3 install -r requirements.txt
Paso 4 : Ejecute el archivo setup.py para completar la instalación.
sudo python3 setup.py install
Paso 5 : todas las dependencias se han instalado en su sistema operativo Kali Linux. Ahora use el siguiente comando para ejecutar la herramienta y verifique la sección de ayuda.
drupwn -h
Trabajar con la herramienta Drupwn en el sistema operativo Kali Linux
Ejemplo 1: Uso del modo de enumeración
python3 ./drupwn –modo enumeración –objetivo http://192.168.206.133/drupal
En este ejemplo, estamos utilizando el modo de enumeración para extraer información sobre el objetivo. Tenemos la versión de CMS utilizada por el objetivo.
En la siguiente captura de pantalla, tiene la lista de temas utilizados por el dominio de destino.
En la siguiente captura de pantalla, tenemos los archivos que están alojados en el servidor de dominio,
Ejemplo 2: Uso del modo de explotación
python3 ./drupwn –explotación de modo –objetivo http://192.168.206.133/drupal
En este ejemplo, estamos utilizando el modo de explotación para explotar la vulnerabilidad presente en el objetivo. Tenemos la versión de CMS utilizada por el objetivo.
En la siguiente captura de pantalla, enumeramos los CVE disponibles presentes en la base de datos de la herramienta Drupwn.
En la siguiente captura de pantalla, estamos probando el dominio de destino contra CVE-2019-7600 y es vulnerable a CVE.
En la siguiente captura de pantalla, explotaremos el dominio de destino.
En la siguiente captura de pantalla, hemos explotado el dominio de destino y al ingresar el comando ls hemos enumerado los archivos y directorios disponibles en el sistema.
En la siguiente captura de pantalla, estamos imprimiendo el nombre de usuario actual desde el que accedemos al sistema.
Publicación traducida automáticamente
Artículo escrito por gauravgandal y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA