行业资讯

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

发布时间:2020-08-07 14:05:41 作者:酷酷的晓得哥
阅读:232
开发者专用服务器限时活动,0元免费领! 查看>>

作者: Badcode and Longofo@知道创宇404实验室  

时间: 2020年2月9日

原文链接: https://paper.seebug.org/1260/

英文链接: https://paper.seebug.org/1261/

前言

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

在上面 Path of "createrepo" 中设置的值会通过 getConfig().getCreaterepoPath() 获取到,获取到该值之后,调用 this.validate() 方法

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

传进来的 path 是用户可控的,之后将 path 拼接 --version 之后传递给 commandLineExecutor.exec() 方法,看起来像是执行命令的方法,而事实也是如此。跟进 CommandLineExecutor 类的 exec 方法

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

在执行命令前先对命令解析, CommandLine.parse(),会以空格作为分隔,获取可执行文件及参数。

最终是调用了 Runtime.getRuntime().exec()执行了命令。

例如,用户传入的 command 是 cmd.exe /c whoami,最后到 getRuntime().exec()方法就是 Runtime.getRuntime().exec({"cmd.exe","/c","whoami"})

所以漏洞的原理也很简单,就是在 createrepo或者 mergerepo路径设置的时候,该路径可以由用户指定,中途拼接了 --version字符串,最终到了 getRuntime.exec()执行了命令。

漏洞复现

Path of "createrepo"里面传入 payload。

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

Status 栏可以看到执行的结果

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

第一次绕过分析

第一次补丁分析

官方补丁改了几个地方,关键点在 这里

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

常规做法,在执行命令前对命令进行过滤。新增加了一个 getCleanCommand() 方法,对命令进行过滤。

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

第二次绕过分析

第二次补丁分析

在我提交上述绕过方式后,官方修复了这种绕过方式,看下官方的 补丁

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

经过 parse() 第二次绕过测试

测试环境
测试步骤

Path of "createrepo"里面传入 payload。

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

查看进程, notepad.exe 启动了

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

可以看到,成功绕过了补丁。

第二次绕过分析+

经过Badcode师傅第二次绕过分析,可以看到能成功在Windows系统执行命令了。但是有一个很大的限制:

  1. nexus需要安装在系统盘
  2. 一些带参数的命令无法使用

在上面说到的 Artifacts Upload上传处是可以上传任意文件的,并且上传后的文件名都是通过自定义的参数拼接得到,所以都能猜到。那么可以上传自己编写的任意exe文件了。

第二次绕过分析+测试
测试环境
测试步骤

导航到 Views/Repositories->Repositories->3rd party->Configuration,我们可以看到 默认本地存储位置的绝对路径(之后上传的内容也在这个目录下):

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

导航到 Views/Repositories->Repositories->3rd party->Artifact Upload ,我们可以上传恶意的exe文件:

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

该exe文件将被重命名为 createrepo-1.exe (自定义的参数拼接的):

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

同样在 Path of "createrepo" 里面传入 payload(这时需要注意前面部分这时是以nexus安装目录开头的,这在补丁中会判断,所以这里可以在最顶层加 ..\ 或者弄个虚假层 aaa\..\ 等)

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

可以看到createrepo-1.exe已经执行了:

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过


最新版本分析

最新版本补丁分析

第二次补丁绕过之后,官方又进行了修复,官方 补丁主要如下

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

删除了之前的修复方式,增加了 YumCapabilityUpdateValidator 类,在 validate 中将获取的值与properties中设置的值使用 equals 进行绝对相等验证。这个值要修改只能通过 sonatype-work/nexus/conf/capabilities.xml

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

最新版本验证

前端直接禁止修改了,通过抓包修改测试:

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

YumCapabilityUpdateValidator.validate 断到

Nexus Repository Manager 2.x 命令注入漏洞 (CVE-2019-5475) 两次绕过

可以看到这种修复方式无法再绕过了,除非有文件覆盖的地方覆盖配置文件,例如解压覆盖那种方式,不过没找到。

不过 Artifacts Upload那里可以上传任意文件的地方依然还在,如果其他地方再出现上面的情况依然可以利用到。

亿速云「云服务器」,即开即用、新一代英特尔至强铂金CPU、三副本存储NVMe SSD云盘,价格低至29元/月。点击查看>>

推荐阅读:
  1. 使用pyinstaller怎么实现一个超级加密功能
  2. 如何在docker中部署一个.NET 5 运行环境

开发者交流群:

开发者交流-19群

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

原文链接:http://blog.itpub.net/69912109/viewspace-2701631/

2.x cve-2019-5475 manager

上一篇:python中打开文件的方式有哪些

下一篇:python获取前一个小时的方法

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
获取短信验证码
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》
产品服务
地区划分
帮助支持
关于我们
行业资讯-文章归档 问答-问答归档
广州亿速云计算有限公司

7*24小时在线电话:400-100-2938

7*24小时在线QQ:800811969

Copyright © Yisu Cloud Ltd. All Rights Reserved. 2018 版权所有
粤ICP备17096448号-1 粤公网安备 44010402001142号

开发者交流群×