el表达式不能用[]输出_Nexus Repository Manager 3 几次表达式解析漏洞

最新推荐文章于 2024-04-09 14:46:26 发布
最新推荐文章于 2024-04-09 14:46:26 发布
阅读量255 收藏
点赞数
文章标签: el表达式不能用[]输出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26899879/article/details/113069903
版权
本文介绍了Nexus Repository Manager 3的两个EL表达式解析漏洞CVE-2020-10199和CVE-2020-10204,以及CVE-2018-16621的绕过。这些漏洞的根源相同,主要涉及EL表达式的不安全处理。作者详细展示了如何通过版本diff和代码分析定位漏洞,并探讨了修复方法和可能的其他漏洞位置。文章还讨论了Nexus3 API的路由定位和权限问题,以及修复过程中可能存在的遗漏和未来潜在风险。
摘要由CSDN通过智能技术生成

083fec7253fad34e1d71960538f44642.gif

作者:Longofo@知道创宇404实验室
时间:2020年4月8日 

Nexus Repository Manager 3最近曝出两个el表达式解析漏洞,编号为CVE-2020-10199[1],CVE-2020-10204[2],都是由Github Secutiry Lab团队的@pwntester发现。由于之前Nexus3的漏洞没有去跟踪,所以当时diff得很头疼,并且Nexus3 bug与安全修复都是混在一起,更不容易猜到哪个可能是漏洞位置了。后面与@r00t4dm师傅一起复现出了CVE-2020-10204[3],CVE-2020-10204[4]是CVE-2018-16621[5]的绕过,之后又有师傅弄出了CVE-2020-10199[6],这三个漏洞的根源是一样的,其实并不止这三处,官方可能已经修复了好几处这样的漏洞,由于历史不太好追溯回去,所以加了可能,通过后面的分析,就能看到了。还有之前的CVE-2019-7238[7],这是一个jexl表达式解析,一并在这里分析下,以及对它的修复问题,之前看到有的分析文章说这个漏洞是加了个权限来修复,可能那时是真的只加了个权限吧,不过我测试用的较新的版本,加了权限貌似也没用,在Nexus3高版本已经使用了jexl白名单的沙箱。

5ae790078f7dff0583dd8cc53f2b8faf.png1 测试环境

文中会用到三个Nexus3环境:

  • nexus-3.14.0-04

  • nexus-3.21.1-01

  • nexus-3.21.2-03

nexus-3.14.0-04用于测试jexl表达式解析,nexus-3.21.1-01用于测试jexl表达式解析与el表达式解析以及diff,nexus-3.21.2-03用于测试el表达式解析以及diff。

5ae790078f7dff0583dd8cc53f2b8faf.png2 漏洞diff

CVE-2020-10199、CVE-2020-10204漏洞的修复界限是3.21.1与3.21.2,但是github开源的代码分支好像不对应,所以只得去下载压缩包来对比了。在官方下载了nexus-3.21.1-01nexus-3.21.2-03,但是beyond对比需要目录名一样,文件名一样,而不同版本的代码有的文件与文件名都不一样。我是先分别反编译了对应目录下的所有jar包,然后用脚本将nexus-3.21.1-01中所有的文件与文件名中含有3.21.1-01的替换为了3.21.2-03,同时删除了META文件夹,这个文件夹对漏洞diff没什么用并且影响diff分析,所以都删除了,下面是处理后的效果:

782a14ced0f9f549f089018410426b81.png

如果没有调试和熟悉之前的Nexus3漏洞,直接去看diff可能会看得很头疼,没有目标的diff。

5ae790078f7dff0583dd8cc53f2b8faf.png3 路由以及应对处理类1 一般路由

抓下nexus3发的包,随意的点点点,可以看到大多数请求都是POST类型的,URI都是/service/extdirect

701104db22ee39e4b27d5f99985dd9c3.png

post内容如下:

{"action":"coreui_Repository","method":"getBrowseableFormats","data":null,"type":"rpc","tid":7}

可以看下其他请求,json中都有actionmethod这两个key,在代码中搜索下coreui_Repository这个关键字:

bd3b26e167a8a06e7967b1df18b3a11b.png

可以看到这样的地方,展开看下代码:

2ea372b65fdbaf9690ffb914e7800c33.png

通过注解方式注入了action,上面post的method->getBrowseableFormats也在中,通过注解注入了对应的method:

827a943181bb9203617da5d8cf6365d0.png

所以之后这样的请求,我们就很好定位路由与对应的处理类了。

2 API路由

Nexus3的API也出现了漏洞,来看下怎么定位API的路由,在后台能看到Nexus3提供的所有API。

b9e5db7de3c1eb4d845cde81a95d100f.png

点几个看下包,有GET、POST、DELETE、PUT等类型的请求:

8928ba03d55c2117c788757942ac8d0b.png

没有了之前的action与method,这里用URI来定位,直接搜索/service/rest/beta/security/content-selectors定位不到,所以缩短关键字,用/beta/security/content-selectors来定位:

0fba3798359f71f70a1a9d1069681b82.png

8093ad67-6359-eb11-8da9-e4434bdf6706.png

通过@Path注解来注入URI,对应的处理方式也使用了对应的@GET、@POST来注解

可能还有其他类型的路由,不过也可以使用上面类似的方式进行搜索来定位。还有Nexus的权限问题,可以看到上面有的请求通过@RequiresPermissions来设置了权限,不过还是以实际的测试权限为准,有的在到达之前也进行了权限校验,有的操作虽然在web页面的admin页面,不过本不需要admin权限,可能无权限或者只需要普通权限。

5ae790078f7dff0583dd8cc53f2b8faf.png4build Constraint Violation With Template造成的几次Java EL 漏洞

在跟踪调试了CVE-2018-16621[8]与CVE-2020-10204[9]之后,感觉buildConstraintViolationWithTemplate这个keyword可以作为这个漏洞的根源,因为从调用栈可以看出这个函数

最低0.47元/天 解锁文章
张牛顿
关注
EL表达式漏洞分析
不忘初心,护天下安全!
07-12 441
EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。EL表达式主要功能如下:在JSP中访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}表示。例如,${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、applicat
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1693
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
EL表达式
顺其自然~专栏
09-22 318
以MVC模式设计程序,JSP只是视图,视图的任务就是显示响应,而不是在JSP中做任何关于程序控制和业务逻辑的事情。所以在JSP页面中应该尽可能少的、或者是完全不出现Java代码。 在使用JSP标准动作操作 JavaBean时,如果JavaBean的属性是 String类型或者基本类型,则能够实现类型的自动转换,如 JavaBean的属性从String类型可自动转换成int类型。如果 Javabean中的属性不是 String类型和基本类型,而是一个 Object类型,并且属性还有自己的属性,如何获得此 O
EL表达式漏洞利用
Kawa103的博客
11-23 2463
一、EL表达式简介   EL 全名为Expression Language。EL主要作用:   1、获取数据     EL表达式主要用于替换JSP页面中的脚本表达式,以从各种类型的web域 中检索java对象、获取数据。(某个web域 中的对象,访问javabean的属性、访问list集合、访问map集合、访问数组)   2、执行运算     利用EL表达式可以在JSP页面中执行
9、表达式注入漏洞_通用的poc,2024年互联网大厂网络安全面经总结
最新发布
2401_84159839的博客
04-09 566
EL是为了让让JSP写起来更加简单,提供了在JSP中简化表达式的方法。获取数据执行运算获取Web开发常用队形调用Java方法。
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
玄道的网安博客
06-20 4130
前言 Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。 影响版本 Nexus Repository Manager OSS/Pro 3.x <= 3.21.1 环境搭建 cd vulhub/nexus/CVE-2020-10199 docker-compose up -d 访问http://your-ip:8081即可看到Web页面。 漏洞复现
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)复现
ximo的博客
03-25 608
简介 Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。 影响版本 Nexus Repository Manager OSS/Pro 3.x <= 3.21.1 环境搭建 docker环境+vulhub。 git clone https://github.com/vulhub/vulhub.git 启动环境后,访问 ip:8081 : 漏洞复现 使用账号密码adm
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10204)复现
玄道的网安博客
04-28 1104
漏洞概述 Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞 影响版本 Nexus Repository Manager OSS/Pro 3.x <= 3.21.1 环境搭建 https://github.com/vulhub/vulhub/tree/master/nexus/CVE-2020-10204 docker...
NEXUS CVE-2020-10204 漏洞复现
MDSEC的博客
08-17 731
Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。CVE-2020-10199的漏洞需要普通用户权限即可触发,而CVE-2020-10204则需要管理员权限。两个漏洞的触发原因均是不安全的执行EL表达式导致的。这样漏洞就复现完毕,中途又不懂的代码可看前一文章有详细讲解。2.用弱口令登录,账号:admin,密码:admin。在虚拟机验证是否成功。
【转载】Java Component Repository Management with Nexus Repository Manager Server
hm11104105的博客
08-26 266
Java Component Repository Management with Nexus Repository Manager Server 来自koorka知识分享 原文地址:https://www.koorka.com/wiki/Java_Component_Repository_Management_with_Nexus_Repository_Manager_Server 仓库(Repository)是提供给用户的组件的容器。创建和管理存储库是Nexus Repository Manage
自定义集合类型校验
wangdaoyin2010的专栏
05-14 960
在对集合校验的时候,通过对集合中每一个对象记性校验来完成集合校验 1、自定义一个校验注解类 import javax.validation.Constraint; import javax.validation.Payload; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.l
Validator校验器中重新定义默认的错误信息模板
ninghuax的博客
08-07 9371
       主要的方法是使用传递的ConstraintValidatorContext对象可以添加额外的错误消息,或者完全禁用默认的错误信息而使用完全自定义的错误信息。        至于简单的通过注解定义默认的错误信息模板可以查看其他牛人的博客。但是有时候在自定义的Validator校验器中不单单只是类似非空判断这些简单的校验,有可能发生一些常见的情况如:在类校验器重需要同时校验该类中的多个属...
maven私服Nexus3.0安装,配置,描述,权限管理
03-07 966
1.环境: Nexus3.X需要你的电脑上安装了一个JDK,目前我使用的是JDK1.8(已经不支持1.7) 1.1 :Windows安装JDK教程 1.2:Linux安装JDK教程 1.3:Linux多个JDK随时切换 1.4:Nexus下载地址 注意:官网有两大版本分别是3....
Nexus Repository Manager 3 RCE CVE-2019-7238
weixin_33688840的博客
02-18 374
Nexus Repository Manager 3 RCE CVE-2019-7238 0x00 参考链接 https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Exe...
MAVEN构建Web项目无法解析el表达式问题
u014535678的专栏
03-02 5855
jsp页面上的el表达式原样输出! 先看maven生成的web.xml文件 <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd" > Archetype Created Web Appl
Java EL表达式注入命令执行修复
YH的博客
04-16 2612
在可能造成EL表达式注入的页面中加入下列代码来忽略参数中的EL表达式: <%@ page isELIgnored="true"%>
Spring MVC 使用介绍(十六)数据验证 (三)分组、自定义、跨参数、其他
weixin_30764771的博客
04-12 178
一、概述 除了依赖注入、方法参数,Bean Validation 1.1定义的功能还包括: 1、分组验证 2、自定义验证规则 3、类级别验证 4、跨参数验证 5、组合多个验证注解 6、其他 二、分组验证 通过分组,可实现不同情况下的不同验证规则,示例如下: 1、定义分组接口 public interface AddView { } public interfa...
java自定义校验器_javax.validation 自定义校验器
weixin_30744725的博客
02-25 740
importjava.util.Iterator;importjava.util.List;importjavax.validation.ConstraintValidator;importjavax.validation.ConstraintValidatorContext;importorg.apache.commons.lang3.StringUtils;public classListSt...
Nexus Repository Manager 3:组件与仓库管理
在实际使用中,Nexus Repository Manager 3可以帮助开发团队有效地管理他们的依赖,通过中央仓库来存储和分发软件包,确保在整个开发流程中的一致性和可重复性。它还可以作为一个代理,缓存远程仓库的内容,减少网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值