ColdFusion tuvo varios exploits en el pasado. Como ColdFusion 10 era la versión más reciente y estable de Adobe, era difícil encontrar exploits listos para usar.

Como parte de una prueba externa, no tenía información sobre la infraestructura en uso, la plataforma o las aplicaciones instaladas. Ejecuté Nessus como primera parte de la red Pentest y descubrí que la página de inicio de sesión del administrador de ColdFusion existe aquí:

http://XX.XX.XX.XX/CFIDE/administrator/index.cfm

El siguiente paso es obtener el número de versión. Lo obtuve mediante técnicas de ingeniería social..:)

Curiosamente, ahora ColdFusion 10 no muestra su número de versión en la página de inicio en comparación con otras versiones anteriores. Tienes que asumirlo o necesitas obtenerlo por otros medios.

‍

El exploit

El exploit funciona si ColdFusion no se actualiza con los últimos parches o revisiones y solo tiene una instalación sin procesar. La divulgación remota de archivos (RFD) permite acceder a los archivos del sistema operativo, los archivos de configuración y los registros, explorar las carpetas completas del servidor y el hash de la contraseña de administrador de CF.

‍

URL vulnerable:

http://XX.XX.XX.XX/CFIDE/adminapi/customtags/l10n.cfm?attributes.id=it&attributes.locale=it&attributes.var=it&attributes.jscript=false&attributes.type=text/html&attributes.charset=UTF-8&thisTag.executionmode=end&thisTag.generatedContent=htp&attributes.file=../.. /administrator/mail/download.cfm &filename=../../../../../../../../../../../../../.. /coldfusion10/cfusion/lib/password.properties

‍
Notas para exploits exitosos:

Tendrías que hacer un par de../../antes de pasar al hash de la contraseña
Tendría que adivinar el nombre del directorio principal de coldfusion
Es posible que necesite tener algún conocimiento de la estructura de carpetas de ColdFusion. Refiérelo aquí.

Una vez que tengas acceso al hash de contraseñas, el siguiente paso es conseguir la Sal para poder realizar ataques a la mesa arcoíris.

Aquí tienes una referencia rápida sobre los archivos confidenciales de CF. Es posible que también quieras acceder a ellos.

URL de hash de contraseña:

http://XX.XX.XX.XX/CFIDE/adminapi/administrator.cfc?method=getSalt

Con toda esta información, es posible que ahora desee continuar con el descifrado de la contraseña. Utilicé ncrack e Hydra para descifrar contraseñas y funcionó bastante rápido ya que la contraseña de administrador era una de las contraseñas más comunes.

¡¡¡Feliz explotación de CF 10!!!

Share this post