[ Обзор уязвимостей CFM(Cold-Fusion) ]
 

Расскрытие пути

Запрашиваем у сервера, работающего под IIS, файл, состоящий из имени MS-DOS-устройства (nul, prn, aux, lpt1) и окончания .dbm

Example: Доступ к отладочной информации

Дописываем к скрипту ?mode=debug

Example: Доступ к админке

Если админ не отключил доступ к ColdFusion Administrator с IP-адресов отличающихся от 127.0.0.1, то можно получить доступ к авторизации, ввести надо только лишь пароль.

Example: Расскрытие инсталяционного пути в Macromedia ColdFusion MX

Запрашиваем /CFIDE/probe.cfm на 8500 порту

Example: XSS в Coldfusion Fusebox

index.cfm?fuseaction=XSS

Example: Раскрытие пароля администратора

Уязвимость обнаружена в ColdFusion MX. Удаленный авторизованный пользователь способный создавать ColdFusion шаблоны может получить пароль администратора. Удаленный авторизованный пользователь с привилегиями создавать шаблоны, которые содержат тэги CreateObject и cfobject, может создать шаблон, чтобы получить доступ к паролю администратора.

Example:
Заливка шелла из админки

I.
Если на сервере стоит IIS, то заходим на вкладку Server -> Server Settings-> Settings, в Error Template устанавливаем ссылку на шелл, после чего вызываем несуществующую страницу на сервере и он запустится.
II.
Переходим на вкладку Server ->Automated Tasks-> Schedule Task, нажимаем Add Scheduled Task и вводим имя задачи. Поле Operation должно иметь значение HTTPRequest. В поле URL пишем ссылку на шелл, затем в поле Publish ставим галочку Save output to a file. Указываем путь и имя выходного файла на сервере.

Шелл:
Буду постепенно добавлять уязвимости в обзор, благо их много:)

Локальный инклуд

Macromedia ColdFusion поставляется с несколькими небольшими "вспомогательными" приложениями, которые, как предполагается, обучают пользователей работать с ColdFusion. Эти приложения не установлены по умолчанию, и Macromedia рекомендует не устанавливать их на рабочий сервер. Некоторые содержат уязвимость, позволяющую нападавшему создавать файлы или выполнять команды на уязвимом сервере.

Интересные места:)

Сканеры:

XSS в СoldFusion 5.0

Администратор coldfusion может просматривать журнал приложений через Web браузер. Уязвимость позволяет атакующему записать произвольный Javascript код в application log, который будет выполнен при просмотре журнала администратором. Вот часть уязвимого кода:

если функция INT сталкивается с не числовым значением, она выдает ошибку и пишет значение в журнал регистрации приложений. Если url.productid содержит что-то типа такого:

то при просмотре application log атакующий может похитить куки администратора, в которых хранится пароль в зашифрованном виде.

Переполнение буфера в Macromedia ColdFusion jrun.dll, приводящее к DoS'у IIS

Переполнение буфера обнаружено в ColdFusion MX server, когда он используется вместе с Microsoft IIS. При получении HTTP-заголовка, превышающего 4096 байт, и если template filename больше 8092 байт, произойдет переполнение в модуле 'jrun.dll'. Успешное использование баги может приводить к зависанию IIS и возможному выполнению произвольного кода.

ColdFusion MX Remote Development Service Exploit

CartWeaver (Details.cfm ProdID) Remote SQL Injection Vulnerability

admin_username:
admin_password:
admin:
dork:
allinurl: Details.cfm?ProdID=
allinurl: Results.cfm?category=

QuickEStore <= 8.2 (insertorder.cfm) Remote SQL Injection Vulnerability

admin password:
link admin:XSS в Savvy Content Manager

Уязвимость существует из-за недостаточной обработки входных данных в параметре "searchterms" в сценариях searchresults.cfm, search_results.cfm и search_results/index.cfm.

Example: XSS в Tradingeye Shop

Уязвимость существует из-за недостаточной обработки входных данных в параметре "image" в сценарии details.cfm.

Example: XSS в iPostMX 2005

Уязвимость существует из-за недостаточной обработки входных данных в параметре "RETURNURL" в сценариях userlogin.cfm и account.cfm.

Example: XSS в Goss iCM

Уязвимость существует из-за недостаточной обработки входных данных в параметре "keyword" в сценарии index.cfm.

Example: SQL-Inj в 1WebCalendar

Уязвимость существует из-за недостаточной обработки входных данных в параметре "EventID" в сценарии "viewEvent.cfm", в параметре "NewsID" в сценарии "news/newsView.cfm" и параметре "ThisDate" в сценарии "mainCal.cfm".

Example: XSS в CommonSpot

Уязвимость существует из-за недостаточной обработки входных данных в параметре "bNewWindow" в сценарии "loader.cfm".

Example: XSS в e-publish

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "obcatid" и "comid" в сценарии "show.cfm".

Example: Примечание: не раз уже сталкивался с тем, что когда мы подставляем <script>alert()</script>, то в сорсе открывающий тег заменяется на <InvalidTag>. Обходится очень просто, пример выше.

XSS в Honeycomb Archive

Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметре "keyword" в сценарии "search.cfm".

Example: XSS в Hot Banana Web Content Management Suite

Уязвимость существует из-за недостаточной обработки входных данных в параметре "keywords" сценария "index.cfm".

Example: XSS в CF_Nuke

Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в параметрах "cat", "topic" и "newsid".

Example: SQL-Inj в Magic Forum Personal

Уязвимость существует при обработке входных данных в параметрах "ForumID", "Thread" и "ThreadID" в сценарии "view_forum.cfm".

Example: XSS в Simple Message Board

Уязвимость существует из-за недостаточной обработки входных данных в сценариях 'forum.cfm', 'user.cfm', thread.cfm' и 'search.cfm'.

Example: XSS в Quick Cart

Уязвимость существует из-за некорректной обработки входных данных в параметре 'search' сценария 'search.cfm'.

Example: XSS в FuseTalk

Уязвимость существует из-за некорректной обработки входных данных в параметре 'ProfileID' модуля 'tombstone.cfm'.

Example: