Adobe ColdFusion 反序列化漏洞（CVE-2017-3066）

最新推荐文章于 2024-08-03 16:14:20 发布

DaWan_Lv

最新推荐文章于 2024-08-03 16:14:20 发布

阅读量463

点赞数 1

分类专栏：漏洞复现文章标签：安全漏洞 adobe

本文链接：https://blog.csdn.net/wendy_lwn/article/details/115671326

版权

本文详细介绍了Adobe ColdFusion的反序列化漏洞（CVE-2017-3066），通过环境搭建、漏洞利用及反弹shell的步骤，展示了如何利用该漏洞。在环境搭建中，使用了vulhub；漏洞利用阶段，通过特定的POST请求触发漏洞，并且发现不添加Content-Type头也能成功；最后，利用 ysoserial 工具反弹shell，执行系统命令。

摘要由CSDN通过智能技术生成

Adobe ColdFusion 反序列化漏洞（CVE-2017-3066）

环境搭建
漏洞利用
反弹shell

环境搭建

使用vulhub进行环境搭建，具体步骤可参考这里。

漏洞利用

环境启动成功，访问http://192.168.36.128:8500/CFIDE/administrator/index.cfm，输入密码vulhub，即可成功安装Adobe ColdFusion
在这里插入图片描述

输入密码后，点击OK，页面如下：

在这里插入图片描述

需下载内容
ColdFusionPwn-0.0.1-SNAPSHOT-all.jar
ysoserial-master.jar

开始制作poc

java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-master.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 'touch /tmp/C

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

DaWan_Lv

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Adobe ColdFusion 反序列化漏洞复现（CVE-2023-29300）

0xSec

08-02

2699

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在代码问题漏洞，该漏洞源于受到不受信任数据反序列化漏洞的影响，攻击者通过漏洞可以代码执行，可导致服务器失陷，获取服务器权限。

CVE-2017-3066(Adobe ColdFusion 反序列化漏洞)

G_Fu_Q的博客

04-08

1393

本文仅做漏洞复现记录与实现,请勿用于非法用途漏洞介绍: Adobe ColdFusion（直译：冷聚变），是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似JSP里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想被一些人认为非常先进，被一些语言所借鉴。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受

参与评论您还未登录，请先登录后发表或查看评论

Adobe ColdFusion 反序列化漏洞靶场复现（CVE-2017-3066）

qq_43232893的博客

04-12

961

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档墨者学院之Adobe ColdFusion 反序列化漏洞靶场复现（CVE-2017-3066）简介一、漏洞复现开启环境CVE-2017-3066漏洞复现简介 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程

Adobe ColdFusion反序列化漏洞(cve-2017-3066)

最新发布

山兔的博客

08-03

533

Adobe ColdFusion（直译：冷聚变），是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似JSP里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想被一些人认为非常先进，被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。

Adobe ColdFusion 目录遍历漏洞 (CVE-2010-2861)

zzzzz1284的博客

01-04

349

CVE-2010-2861

10 - vulhub - Adobe ColdFusion 反序列化漏洞 (CVE-2017-3066)

易编橙 · 终身成长社群，相遇已是上上签！

10-20

3710

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。

利用Vulnhub复现漏洞 - Adobe ColdFusion 反序列化漏洞（CVE-2017-3066）

JiangBuLiu的博客

06-28

5133

Adobe ColdFusion 反序列化漏洞（CVE-2017-3066）Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现POC500错误 Vulnhub官方复现教程 https://vulhub.org/#/environments/coldfusion/CVE-2017-3066/ 漏洞原理 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的C...

Adobe ColdFusion 反序列化漏洞复现(CVE-2023-38203）

0xSec

01-27

821

Adobe ColdFusion存在代码问题漏洞，该漏洞源于受到不受信任数据反序列化漏洞的影响，攻击者通过漏洞可以代码执行，可导致服务器失陷，获取服务器权限。

ColdFusion安装指南

03-31

ColdFusion 8 安装指南英文文档

Adobe ColdFusion 文件读取漏洞（CVE-2010-2861）

EC_Carrot的博客

05-20

187

漏洞背景 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品，其运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。影响版本 Adobe ColdFusion 8.0.1 Adobe ColdFusion 9.0.1 Adobe ColdFusion 9.0 Adobe ColdFusion 8.0 漏洞复现我的环境为vulhub的靶机，启动后，需访问http://your-ip:8500/CFIDE/administ

漏洞分析｜Adobe ColdFusion 序列化漏洞（CVE-2023-29300）

m0_46699477的博客

08-02

1111

通过研究 CVE-2023-29300，我们了解了 Adobe ColdFusion 产品的基本工作原理，其不安全的 WDDX 序列化实现将产生可利用的漏洞。同时，我们详细分析了通过 argumentCollection 参数传入 payload 的完整调用路径，以及为何需要传入看似与利用无关的 method 参数。在此基础上，我们探索了利用的新方向，在这个过程中也踩了不少坑。阅读本篇文章后，大家在复现此漏洞以及在将来需要研究此产品时，就可以少走一些弯路了，后续有机会的话，会进一步分享研究成果。

Vulhub-coldfusion--CVE-2017-3066

Ronin_qianmo的博客

07-29

477

1、漏洞描述 Adobe ColdFusion是美国Adobe公司的一种动态Web服务器产品，其运行的CFML（ColdFusion标记语言）是针对Web应用程序的一种程序设计语言。攻击者可利用该漏洞在冲突应用程序的一部分中执行任意代码或造成拒绝服务。以下版本受到影响：Adobe ColdFusion（2016版）更新3及之前的版本， ColdFusion 11 Update 11及之前的版本，ColdFusion 10 Update 22及之前的版本。 2、启动靶场 3、访问网址 http://x.x

Adobe ColdFusion RCE(CVE-2019-7839) 漏洞分析

systemino的博客

08-05

624

漏洞简介 Adobe ColdFusion 是一个商用的快速开发平台。它可以作为一个开发平台使用，也可以提供Flash远程服务或者作为 Adobe Flex应用的后台服务器。 2019年06月11日，Adobe 发布安全公告，修复了Adobe ColdFusion多个严重漏洞。其中有一个由Moritz Bechler提交的命令注入漏洞(CVE-2019-7839)。 2019年06月26日...

漏洞分析｜Adobe ColdFusion WDDX 序列化漏洞利用

m0_46699477的博客

09-07

405

本文将分享继 CVE-2023-29300 之后的不出网利用方式，提出 C3P0 和 JGroups 两条基于服务错误部署的新利用链。现 Goby 中实现了 C3P0 和 JGroups 利用链的完整利用，完全支持命令执行以及结果回显功能。

CVE-2021-26885利用poc

07-18

CVE-2021-26885是一个安全漏洞的标识符，它通常与软件中的远程代码执行（RCE）风险有关。这个漏洞可能是由于Adobe ColdFusion组件的一个缺陷导致的，ColdFusion是一种服务器端脚本语言环境。POC，即Proof of Concept（验证漏洞存在的演示程序），是一个小型的示例代码，用于展示如何利用这个漏洞。 POC可能会包含以下几个步骤： 1. 检测目标系统是否存在该版本的ColdFusion，并确认其存在CVE-26885漏洞。 2. 利用冷fusion解析恶意请求的方式，比如通过精心构造的HTTP请求或文件上传。 3. 在服务器上运行预设的命令或执行恶意代码片段，如果攻击者能够成功触发这个漏洞。需要注意的是，分享和使用POC通常是非法的，因为它可能被滥用来发起攻击。如果你遇到这种情况，应该立即修复受影响的系统，避免给网络带来威胁。如果你发现了自己的系统有此漏洞，应尽快更新到安全补丁或者关闭受影响的功能。