漏洞分析|Adobe ColdFusion 序列化漏洞(CVE-2023-29300)

原创 已于 2023-08-02 17:47:45 修改 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#adobe

于 2023-08-02 17:44:15 首次发布
文章详细描述了AdobeColdFusion的一个未公开漏洞CVE-2023-29300,涉及WDDX序列化和JNDI利用,通过分析漏洞成因、利用链及环境搭建,展示了漏洞利用的可能性。

0x01 概述

近期,Adobe ColdFusion 发布了多个安全更新,引起了我们的关注。Adobe ColdFusion 是一款基于 Java 的商业应用程序服务器,2023 年 7 月 13 日,ProjectDiscovery 发布了分析文章,我们通过研究 CVE-2023-29300 发现这其实是一个未公开且非常有趣的漏洞,此时官方尚未发布安全补丁,因此我们立即开始寻找新的利用方式。不久之后,ProjectDiscovery 意识到自己公布了 0day 漏洞,紧急删除了分析文章,并等待官方发布安全补丁,具体的时间可参考下文的漏洞时间线。

ProjectDiscovery 公布的利用方式受 JDK 小于 9 的限制,经过测试,这条已公开的 JNDI 利用链成功利用率为 0.6%。其中提到了关于 commons-beanutils 的利用链,经过我们的分析,实际上并不需要使用它,并且还存在其它的利用链。**本文将从 ColdFusion 2023 发布版的 Update 1 安全更新内容入手,详细分析 CVE-2023-29300 的漏洞成因,并提出一些后续的研究方向。

我们在 Goby 中已经集成了 CVE-2023-29300 漏洞的 JNDI 利用链(CVE-2023-38204),实现了命令执行回显和自定义 ldap 服务器地址的功能。演示效果如下:**

CVE-2023-38203-yzpxexma.gif

0x02 漏洞环境

我们已经在 vulfocus 中集成了开箱即用的环境,版本为 Ubuntu 20.04 + JDK 8u60 + Apache Tomcat 9.0.78 + ColdFusion Release 2023.0.0.330468。
拉取镜像:

docker pull vulfocus/vcpe-1.0-a-adobe-coldfusion:2023.0.0.330468-openjdk-release

启动环境:

docker run -d -P vulfocus/vcpe-1.0-a-adobe-coldfusion:2023.0.0.330468-openjdk-release

0x03 漏洞分析

3.1 补丁分析

7 月 12 日,Adobe 发布了 ColdFusion (2023 release) Update 1 更新。
将 patch 包反编译后的代码与更新前的代码进行比对,可以发现coldfusion.wddx.DeserializerWorker#startElement()方法中的明显变化:

图片.png新增的validateWddxFilter()方法如下。

private void validateWddxFilter(AttributeList atts) throws InvalidWddxPacketException {
   
   
    String attributeType = atts.getValue("type");
    if (attributeType.endsWith(";")) {
   
   
        attributeType = attributeType.replace(";", "");
    }
    if (attributeType.startsWith("L")) {
   
   
        String attributeTypeCopy = attributeType;
        validateBlockedClass(attributeTypeCopy.replaceFirst("L", ""));
    }
    validateBlockedClass(attributeType);
}

private void validateBlockedClass(String attributeType) throws InvalidWddxPacketException {
   
   
    if (attributeType != null && !attributeType.toLowerCase().startsWith("coldfusion") && !attributeType.equalsIgnoreCase(StructTypes.ORDERED.getValue()) && !attributeType.equalsIgnoreCase(StructTypes.CASESENSITIVE.getValue()) && !attributeType.equalsIgnoreCase(StructTypes.ORDEREDCASESENSITIVE.getValue()) && WddxFilter.invoke(attributeType
最低0.47元/天 解锁文章
Gobysec
关注
Adobe ColdFusion序列化漏洞复现(CVE-2023-38203)
0xSec
01-27 1162
Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
Adobe ColdFusion序列化漏洞复现(CVE-2023-29300
0xSec
08-02 3234
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
Adobe ColdFusion序列化漏洞CVE-2017-3066)
DaWan
04-13 612
Adobe ColdFusion序列化漏洞CVE-2017-3066)环境搭建漏洞利用反弹shell 环境搭建 使用vulhub进行环境搭建,具体步骤可参考这里。 漏洞利用 环境启动成功,访问http://192.168.36.128:8500/CFIDE/administrator/index.cfm,输入密码vulhub,即可成功安装Adobe ColdFusion 输入密码后,点击OK,页面如下: 需下载内容 ColdFusionPwn-0.0.1-SNAPSHOT-all.j
2023HW护网100+个漏洞poc
Yb528970805的博客
09-19 3865
20 . Metabase validate 远程命令执行漏洞CVE-2023-38646。13 . HiKVISION 综合安防管理平台 files 任意文件上传漏洞 POC。3 . Adobe ColdFusion序列化漏洞CVE-2023-29300。25 . Panabit iXCache网关RCE漏洞CVE-2023-38646。65 . 泛微E-Office9文件上传漏洞 CVE-2023-2523 POC。66 . 泛微E-Office9文件上传漏洞 CVE-2023-2648 POC。
漏洞复现-Adobe ColdFusion序列化漏洞CVE-2023-29300
玄道的网安博客
08-11 2022
对于 ColdFusion 来说,WDDX 中的每个元素都是一个WddxElement,不同的元素对应着不同的Handler处理类,例如标签中的元素与属性将由StringHandler处理,标签会由StructHandler处理。分析findAttribute()方法可知,参数为url.xxx表示从请求的 URL 中获取xxx的参数值,form.yyy表示从上传的表单中获取yyy的参数值。.wddx.DeserializerWorker.java文件中的显着变化。
Adobe ColdFusion 文件读取漏洞CVE-2010-2861)
时光凉春衫薄的博客
12-06 345
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 产品样子: 漏洞复现 登录界面?后边locale=../../../../../../../../../../etc/passwd%00en即可 读取后台用户密码 locale=../../..
漏洞分析Adobe ColdFusion WDDX 序列化漏洞利用
m0_46699477的博客
09-07 616
本文将分享继 CVE-2023-29300 之后的不出网利用方式,提出 C3P0 和 JGroups 两条基于服务错误部署的新利用链。现 Goby 中实现了 C3P0 和 JGroups 利用链的完整利用,完全支持命令执行以及结果回显功能。
Adobe ColdFusion序列化漏洞(cve-2017-3066)
山兔的博客
08-03 788
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
漏洞复现-Adobe ColdFusion 远程代码执行漏洞CVE-2023-38203)
玄道的网安博客
08-11 1224
需要注意的是,在进行方法调用时,我们处于for循环中,因此我们能够在bean实例上调用多个方法。有了类名后,就可以使用反射来访问类的构造函数,没有参数的构造函数,并实例化类的实例。如果bean有任何setter方法,它将被返回,并最终通过Java Reflections在bean上调用,变量的值是唯一的参数,这些变量的值来自用户控制的WDDX数据包。在我们的分析中,预授权CFC端点触发对GetArgumentCollection的调用,并最终触发对易受攻击的接收器的调用,即WDDXDeserialize。
Adobe ColdFusion 目录遍历漏洞 (CVE-2010-2861)
zzzzz1284的博客
01-04 485
CVE-2010-2861
Adobe ColdFusion
05-13
Adobe ColdFusion ColdFusion初級教程繁體中文
Adoble ColdFusion序列化漏洞CVE-2017-3066)
Kevin's Blog
01-18 1031
文章目录一、介绍1.1 漏洞介绍1.2 影响版本二、漏洞复现三、防御 一、介绍 1.1 漏洞介绍   Adoble ColdFusion是一个动态Web服务器,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言。文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。   低版本的Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服 务。 1.2 影响版本 Ad
2024年Python函数定义-位置参数-返回值_定义函数返回元素定位的内容,2024年最新2024年阿里Python高级面试题分享
m0_63102527的博客
05-03 266
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
coldfusion文件读取漏洞CVE-2010-2861)
1stPeak's Blog
07-28 1143
1、直接访问http//your-ip8500/CFIDE/administrator/enter.cfm?/etc/passwd%00en,即可读取文件/etc/passwd。2、读取后台管理员密码http//your-ip8500/CFIDE/administrator/enter.cfm?/lib/password.properties%00en。AdobeColdFusion8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。解密password。...
adobe coldfusion访问控制错误 cve-2023-29298
最新发布
11-04
嗯,用户这次聚焦在CVE-2023-29298这个特定...> **关键提示**:Adobe2023年7月11日发布的补丁包已修复包括CVE-2023-29298在内的多个高危漏洞(含CVE-2023-29300序列化漏洞)[^1][^2],**强烈建议全量更新**。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值