利用Vulnhub复现漏洞 - Adobe ColdFusion 反序列化漏洞(CVE-2017-3066)

最新推荐文章于 2025-05-25 16:19:34 发布
最新推荐文章于 2025-05-25 16:19:34 发布
阅读量5.2k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 渗透 文章标签: Vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JiangBuLiu/article/details/94001479
本文介绍了如何复现Adobe ColdFusion的反序列化漏洞(CVE-2017-3066),包括漏洞原理、启动环境的配置、生成和发送POC,以及通过Docker进入容器检验漏洞效果,最终实现反弹Shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Adobe ColdFusion 反序列化漏洞(CVE-2017-3066)

Vulnhub官方复现教程

https://vulhub.org/#/environments/coldfusion/CVE-2017-3066/

漏洞原理

Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。

Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。以下版本受到影响:Adobe ColdFusion (2016 release) Update 3及之前的版本,ColdFusion 11 Update 11及之前的版本,ColdFusion 10 Update 22及之前的版本。

参考链接:

复现漏洞

启动环境

https://blog.youkuaiyun.com/JiangBuLiu/article/details/93853056

进入路径为

cd /roo
最低0.47元/天 解锁文章

200万优质内容无限畅学
Adobe ColdFusion 反序列化漏洞复现CVE-2023-29300)
0xSec
08-02 3175
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。
vulhub:Adobe ColdFusion文件读取漏洞复现CVE-2010-2861)
sszsNo1的博客
07-02 428
vulhub:Adobe ColdFusion文件读取漏洞CVE-2010-2861)如何复现
Adobe ColdFusion 反序列化漏洞靶场复现CVE-2017-3066
qq_43232893的博客
04-12 1271
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 墨者学院之Adobe ColdFusion 反序列化漏洞靶场复现CVE-2017-3066)简介一、漏洞复现开启环境CVE-2017-3066漏洞复现 简介 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用漏洞在受影响应用程
CVE-2017-5645源码分析与漏洞复现(反序列化)
最新发布
spinage的博客
05-25 1188
Apache Log4j反序列化漏洞(CVE-2017-5645)分析 摘要:CVE-2017-5645是Apache Log4j 2.0-alpha1至2.8.1版本中存在的高危反序列化漏洞(CVSS 9.8)。该漏洞源于Log4j的SocketAppender组件在接收TCP/UDP日志(默认端口4712)时,直接使用ObjectInputStream反序列化输入数据而未做安全校验。攻击者可构造恶意序列化数据触发远程代码执行。通过分析关键源码发现,ObjectInputStreamLogEventBri
Adobe ColdFusion 反序列化漏洞CVE-2017-3066
黑白的博客
12-22 885
声明 好好学习,天天向上 漏洞描述 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。 影响范围 Adobe ColdFusion (2016 release) Update 3及之前的版本 ColdFusion 11 Update 11及
Vulhub-coldfusion--CVE-2017-3066
Ronin_qianmo的博客
07-29 556
1、漏洞描述 Adobe ColdFusion是美国Adobe公司的一种动态Web服务器产品,其运行的CFML(ColdFusion标记语言)是针对Web应用程序的一种程序设计语言。 攻击者可利用漏洞在冲突应用程序的一部分中执行任意代码或造成拒绝服务。以下版本受到影响:Adobe ColdFusion(2016版)更新3及之前的版本, ColdFusion 11 Update 11及之前的版本,ColdFusion 10 Update 22及之前的版本。 2、启动靶场 3、访问网址 http://x.x
漏洞复现-Adobe ColdFusion 反序列化漏洞CVE-2023-29300)
玄道的网安博客
08-11 1870
对于 ColdFusion 来说,WDDX 中的每个元素都是一个WddxElement,不同的元素对应着不同的Handler处理类,例如标签中的元素与属性将由StringHandler处理,标签会由StructHandler处理。分析findAttribute()方法可知,参数为url.xxx表示从请求的 URL 中获取xxx的参数值,form.yyy表示从上传的表单中获取yyy的参数值。.wddx.DeserializerWorker.java文件中的显着变化。
10 - vulhub - Adobe ColdFusion 反序列化漏洞 (CVE-2024-3066)
2401_83946044的博客
03-28 280
学好 Python 不论是就业还是做副业赚钱都不错,但要学会 Python 还是要有一个学习规划。最后大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
CVE-2017-3066(Adobe ColdFusion 反序列化漏洞)
G_Fu_Q的博客
04-08 1569
本文仅做漏洞复现记录与实现,请勿用于非法用途 漏洞介绍: Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。 Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。 以下版本受
Adobe_ColdFusion文件读取漏洞 CVE-2010-2861 漏洞复现
ADummy的博客
02-22 1079
Adobe ColdFusion文件读取漏洞(CVE-2010-2861) by ADummy 0x00利用路线 ​ 第三方UI与目标进行通信—>搭建http服务器—>让目标下载恶意文件—>定时任务执行—>反弹shell 0x01漏洞介绍 ​ AdobeColdFusion是一款高效的网络应用服务器开发环境。AdobeColdFusion9.0.1及之前版本的管理控制台中存在多个目录遍历漏洞。远程攻击者可借助向CFIDE/administrator/中的CFIDE/admin
CVE-2010-2861漏洞复现(ColdFusion未授权漏洞)
G_Fu_Q的博客
04-08 995
漏洞介绍: Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。 Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言。文件以*.c
Adobe ColdFusion反序列化漏洞(cve-2017-3066)
山兔的博客
08-03 708
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
10 - vulhub - Adobe ColdFusion 反序列化漏洞 (CVE-2017-3066)
2401_89082811的博客
11-22 950
ColdFusion 10 Update 22及之前的版本。
vulhub漏洞复现系列之Adobe ColdFusioncve-2010-2861文件读取漏洞CVE-2017-3066反序列化漏洞
weixin_43071873的博客
12-10 1115
CVE-2010-2861)Adobe ColdFusion 文件读取漏洞 一、漏洞简介 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 二、漏洞影响 Adobe ColdFusion 8 Adobe ColdFusion 9 三、漏洞复现 直接访问http://www.0-sec.org:8500/CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/…/…/…/etc/passwd%00en,即可
利用Vulnhub复现漏洞 - libssh 服务端权限认证绕过漏洞CVE-2018-10933)
JiangBuLiu的博客
07-12 2011
libssh 服务端权限认证绕过漏洞CVE-2018-10933)Vulnhub官方复现教程漏洞原理复现过程启动环境PoC (pocsuite 插件)执行任意命令 Vulnhub官方复现教程 https://github.com/vulhub/vulhub/blob/master/libssh/CVE-2018-10933/README.zh-cn.md 漏洞原理 libssh是一个提供ssh相...
P2 利用Vulnhub复现漏洞 - Drupal 远程代码执行漏洞CVE-2019-6339)
在下小黄的博客
03-19 630
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: P2 利用Vulnhub复现漏洞 - Drupal 远程代码执行漏洞CVE-2019-6339) 往期检索:程序设计学习笔记——目录 创建时间:2021年3月19日 软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器 Drupal 远程代码执行漏洞CVE-2019-6339)Vulnhub 官方复现三级目录 Vulnhub 官方复现 三级目录 各位路过的朋友,如果觉得
ColdFusion 10 & 11 漏洞利用代码:CVE-2015-0345 XSS到RCE
CVE-2015-0345,也就是Adobe安全公告APSB15-07中提到的漏洞,影响了ColdFusion的特定版本。该漏洞允许攻击者通过精心构造的XSS攻击,执行远程代码。具体来说,这一漏洞存在于ColdFusion 10和11版本中,而最新的更新...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值