coldfusion 利用技巧

消失了好一阵子，从今天起开始写博客，不为了别的只为了记录下这些精妙的方法，免得自己忘记

ColdFusion（直译：冷聚变），是一个动态Web服务器，其CFML（ColdFusion Markup Language）是一种程序设计语言，类似现在的JavaServer Page里的JSTL（JSP Standard Tag Lib），从1995年开始开发，其设计思想被一些人认为非常先进，被一些语言所借鉴。

工作需要看到一个coldfusion的服务器，从来没弄过，想当然的以为像php一样配置文件直接写在脚本文件里，我把整个站翻遍了也没找到数据库连接文件，无果。找找资料才发现这种web服务器有多恶心。

下面分享我的经历：

1. administrator页面的验证密码
是放在X:\ColdFusion8\lib\password.properties
采用的sha1加密的 可以扔cmd5上去直接破
如果破不了 可以去administrator目录的index.cfm里写代码劫持密码
因为登录页面是直接hash(password) 的方式传递到后台的
所以只能在登录的时候去代码劫持
 
 
2. bypass administrator页面的验证
找到X:\ColdFusion8\lib\neo-security.xml
把里面的  admin.security.enabled 项设置为false
然后要重启服务
net stop "ColdFusion 8 Application Server" (服务名mickey 的paper里没有提到)
net start "ColdFusion 8 Application Server"
再登陆administrator页面就不需要密码验证了
(个人感觉bypass的必要性不大
首先要重启服务 要么是完全控下了服务器 要么是webshell下提权成功有权限去重启服务
既然都有权限去重启服务了 那么其实已经能直接访问敏感文件了 没啥必要再登录后台了
例如有权限能访问neo-security.xml 其实也就能访问neo-datasource.xml
直接就可以把所有数据库的连接信息抓出来 当然在后台看着排版啥还是要工整一些)
 
 
 
3. 数据库连接信息(含数据库密码 但是是被加密了的)
是放在X:\ColdFusion8\lib\neo-datasource.xml
数据库密码是先用的3DES 的E-D-E 模式加密
加密的密钥统一都是0yJ!@1$r8p0L@r1$6yJ!@1rj
(之前我以为每台服务器上的密钥都不一样 后来验证了 所有的都是一样的)
再把加密后的结果进行base64 编码
得到类似于+6gMKHMdJiY= 这样
解密的方式可以用bash命令搞定
bash命令如下
 
echo 要解密的字符串| openssl des-ede3 -a -d -K 30794A21403124723870304C4072312436794A214031726A -iv 30794A2140312472; echo 

其实密码的破解还有个更简便的方法，很多cfm的大马集成了这项功能，也是我偶然在服务器上翻到前辈的足迹，故赶紧放进自己的兵器库。不便上传，需要的留下邮箱。