# Nexus Repository Manager3 ProXXE分析(CVE-2020-29436)
**作者:r00t4dm@Cloud-Penetrating Arrow Lab & Longofo@知道创宇404实验室**
**时间:2020年12月16日**
最近Nexus Repository Manager3[安全公告](https://support.sonatype.com/hc/en-us/sections/203012668-Security-Advisories)更新了一个XXE漏洞,虽然需要管理权限才能利用,并且Nexus Repository Manager3在较高的版本中也会强制更改以前较低版本使用的默认密码`admin/admin123`,最后漏洞触发也很简单,但是过程还是挺有意思,并且不会受到jdk高版本导致不能带换行的问题,列目录、读文件可以带出任意字符,除了二进制文件外,没有找到能编码的协议。
## 补丁
[diff](https://github.com/sonatype/nexus-public/compare/release-3.28.1-01…release-3.29.0-02)下最高漏洞版本3.28.1-01和修复版本3.29.0-02:
![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-e2be1ea0ca7a5049167e98454f591e8d_b.jpg)
可以看到在一个SafeXml#configureValidator中做了限制加载外部dtd的操作,可以注意到这个configureValidator是新增的方法而不是在原方法中修复,但是只是个工具类。
## 漏洞复现
来到后台Saml的功能点:
![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-f331f8dd3e51ad798740576e028eea85_b.jpg)
看到这个大大的XML输入框就知道大概率是有XML操作的。
简单测试下能不能进行dtd请求,如果能的话很可能读取文件也可以:
![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-0e7cdf9f0de38cf1d590babc28dff691_b.jpg)
点击保存就能看到进行了请求。测试了下读文件,可以利用ftp、http等协议带出单行文件,看了下jdk版本在windows是使用的自带的8u252,@r00t4dm在mac上的安装包不会自带jdk,使用的是系统的,那么linux下也是系统的,所以试用的是较低版本的jdk,是可以带换行的。后面看了下返回包,居然把异常返回到了json,那么我们可以通过报错xml将任何文本字符带出了,包括`\n`、`#`、`<`等文本字符。 payload: ```xml
%dtd; %send; \]>
“`
看下效果:
![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-98103421b633770daaf419bf9c9cbcfa_b.jpg)
其他带`#`、`<`等字符的文件也都可以。 ## 漏洞分析 既然configureValidator是新增的方法,而且是一个static方法,那么在最新版本中大概率就有其他类调用这个方法了来修复了。在github开源的3.29.0-02代码中搜索configureValidator,没有搜到任何结果,这个地方就很奇怪了,难道是动态隐式调用?但是前面configureValidator是一个新增的方法并且是一个静态方法,感觉不太可能动态隐式调用。因为之前也弄过Nexus的漏洞,他的安装包lib中有许多代码没有在github那个开源的仓库中,所以就反编译了3.29.0-02版本所有的lib包,一搜索configureValidator,果然有调用而且就此一处: ![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-1d34419cfa044f377622bd716ad9c135_b.png) 接着又往上搜SamlMetadataTool的调用,都是带有Saml字眼的相关类在调用。所以猜想会有个Saml的功能,去[官方文档](https://help.sonatype.com/repomanager3/system-configuration/user-authentication/saml)搜索下: ![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-a1302cc05678b0f4872281a7aa1220a6_b.jpg) 看到这个描述是不是有点激动呢?猜测就是这个位置了。按照描述去后台配置点,发现并不能使用这个SAML功能,再看文档说的式要Pro版本才能用这个功能,可以去官网[申请试用](https://www.sonatype.com/nexus/repository-pro)。 从上面的发包可以看到处理url为`/service/rest/internal/ui/saml`,在github开源部分的代码中依然是搜不到的,在反编译的代码中搜索`/ui/saml`可以找到处理类: ![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-de73d543d073c1c79ca51deffa4c682b_b.png) 下面是调用栈: ![](/static/qingy/Nexus_Repository_Manager3_ProXXE分析(CVE-2020-29436)/img/v2-02d0193c7e806f8800e61069781da8f5_b.jpg) 前面调用栈太长就不copy出来了。 ## 参考 > https://zhuanlan.zhihu.com/p/337649864
请登录后查看评论内容