CVE-2017-3066(Adobe ColdFusion 反序列化漏洞)

最新推荐文章于 2025-09-28 15:31:23 发布
原创 最新推荐文章于 2025-09-28 15:31:23 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #linux #安全 #cve

本文详细记录了Adobe ColdFusion的CVE-2017-3066漏洞复现过程,包括环境搭建、漏洞利用方法以及如何通过反序列化漏洞反弹shell。提醒读者该内容仅用于学习,不得用于非法活动。

本文仅做漏洞复现记录与实现,请勿用于非法用途

漏洞介绍:

Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。

Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。

以下版本受到影响:Adobe ColdFusion (2016 release) Update 3及之前的版本,ColdFusion 11 Update 11及之前的版本,ColdFusion 10 Update 22及之前的版本。

漏洞环境搭建

cd vulhub
cd CVE-2017-3066
docker-compose up -d

漏洞复现

访问环境: http://your-ip:8500/CFIDE/administrator/index.cfm 输入密码:vulhub进行初始化

最低0.47元/天 解锁文章
Adobe ColdFusion反序列化漏洞(cve-2017-3066)
山兔的博客
08-03 790
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
Adobe ColdFusion 反序列化漏洞靶场复现(CVE-2017-3066
qq_43232893的博客
04-12 1353
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 墨者学院之Adobe ColdFusion 反序列化漏洞靶场复现(CVE-2017-3066)简介一、漏洞复现开启环境CVE-2017-3066漏洞复现 简介 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程
10 - vulhub - Adobe ColdFusion 反序列化漏洞 (CVE-2017-3066)
易编橙 · 终身成长社群,相遇已是上上签!
10-20 3969
Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。
《从 AES 密钥硬编码到 shell 反弹:Shiro CVE-2016-4437 漏洞全链路复现》
最新发布
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
09-28 1149
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值 > Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞
Adobe ColdFusion 反序列化漏洞CVE-2017-3066
黑白的博客
12-22 904
声明 好好学习,天天向上 漏洞描述 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。 影响范围 Adobe ColdFusion (2016 release) Update 3及之前的版本 ColdFusion 11 Update 11及
10 - vulhub - Adobe ColdFusion 反序列化漏洞 (CVE-2024-3066)
2401_83946044的博客
03-28 324
学好 Python 不论是就业还是做副业赚钱都不错,但要学会 Python 还是要有一个学习规划。最后大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
Vulhub-coldfusion--CVE-2017-3066
Ronin_qianmo的博客
07-29 576
1、漏洞描述 Adobe ColdFusion是美国Adobe公司的一种动态Web服务器产品,其运行的CFML(ColdFusion标记语言)是针对Web应用程序的一种程序设计语言。 攻击者可利用该漏洞在冲突应用程序的一部分中执行任意代码或造成拒绝服务。以下版本受到影响:Adobe ColdFusion(2016版)更新3及之前的版本, ColdFusion 11 Update 11及之前的版本,ColdFusion 10 Update 22及之前的版本。 2、启动靶场 3、访问网址 http://x.x
dobe ColdFusion AMF 反序列化远程命令执行 (CVE-2017-3066)
zzzzz1284的博客
01-04 416
CVE-2017-3066
利用Vulnhub复现漏洞 - Adobe ColdFusion 反序列化漏洞CVE-2017-3066
JiangBuLiu的博客
06-28 5331
Adobe ColdFusion 反序列化漏洞CVE-2017-3066)Vulnhub官方复现教程漏洞原理复现漏洞启动环境漏洞复现POC500错误 Vulnhub官方复现教程 https://vulhub.org/#/environments/coldfusion/CVE-2017-3066/ 漏洞原理 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的C...
POC - Adobe ColdFusion 反序列化漏洞CVE-2017-3066
JiangBuLiu的博客
10-16 1500
安装010Editer 下载链接:http://www.pc6.com/softview/SoftView_55129.html 复制POC的十六进制 00 03 00 00 00 01 00 00 00 00 00 00 00 01 11 0A 07 47 6F 72 67 2E 61 70 61 63 68 65 2E 61 78 69 73 32 2E 75 74 69 6C 2E 4D 6...
vulhub漏洞复现系列之Adobe ColdFusioncve-2010-2861文件读取漏洞CVE-2017-3066反序列化漏洞
weixin_43071873的博客
12-10 1153
CVE-2010-2861)Adobe ColdFusion 文件读取漏洞 一、漏洞简介 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 二、漏洞影响 Adobe ColdFusion 8 Adobe ColdFusion 9 三、漏洞复现 直接访问http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/…/…/…/etc/passwd%00en,即可
Adoble ColdFusion反序列化漏洞CVE-2017-3066
Kevin's Blog
01-18 1031
文章目录一、介绍1.1 漏洞介绍1.2 影响版本二、漏洞复现三、防御 一、介绍 1.1 漏洞介绍   Adoble ColdFusion是一个动态Web服务器,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言。文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。   低版本的Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服 务。 1.2 影响版本 Ad
【vulhub】Adobe ColdFusion 反序列化漏洞CVE-2017-3066)和CVE-2010-2861文件包含漏洞
qq_45300786的博客
09-13 401
adobe coldfusion特征 1、8500端口 2、如图所示 验证和反弹shell都有 https://idc.wanyunshuju.com/aqld/2076.html
常见的CVE汇总
m0_57836225的博客
09-11 1556
一、CVE-2014-0160(Heartbleed)二、CVE-2017-5638(Struts2 S2-045)三、CVE-2018-15473(OpenSSH User Enumeration)四、CVE-2019-19781(Citrix ADC and Gateway Remote Code Execution)五、CVE-2020-1472(ZeroLogon)六、CVE-2021-44228(Log4Shell)七、CVE-2017-11882(Microsoft Office Equatio
【vulhub】Weblogic(CVE-2017-10271)漏洞复现
qq_45300786的博客
04-10 1721
背景介绍 Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。 启动vulhub里的weblogic服务 漏洞存在于以下路径:http://192.168.100.23:7001//wls-wsat/CoordinatorPortType11 漏洞复现 在攻击机用nc监听端口: 用burpsuite发送如下post报文。 (记得把ip(192.168.100.34)
CVE-2017-12149 Jboss反序列化漏洞利用工具
2. 反序列化漏洞概念 反序列化漏洞是指当一个应用程序接受用户控制的数据,将这些数据从一种格式转换为程序中的对象时,如果这个过程没有被正确地安全处理,就可能导致安全漏洞的产生。攻击者可以利用这样的漏洞执行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值