Drupal 웹 사이트 관리자 계정 탈취

이 웹사이트의 관리자 계정을 탈취하기 위해서 이 웹의 취약점 소스코드를 다운 받는다.

다음 php 코드를 보면 $url이 있는데 저걸 위와 같이 drupal 코드로 바꿔줘야 한다. 처음에는 www.example.com  이라고 되어 있다.

그리고 wq!를 통해 저장 후 나간다.

그 뒤 php [파일명].php 라고 커맨드를 입력하면 다음과 같이 username 과 password가 admin이라는 것을 알 수 있다.

성공적으로 로그인 되었다.