标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2020-2660]   作者: Hello大鱼 发表于: [2020-05-09]

本文共 [39] 位读者顶过

Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发Maven、NuGET等软件源仓库。其3.21.1及之前版本中,存在一处任意EL表达式注入漏洞。[出自:jiwo.org]
环境搭建我们这里用

https://github.com/vulhub/vulhub

感谢github本项目的建立者

Vulhub是一个面向大众的开源扩展靶场,无需docker知识,简单执行两条命令即可编译,运行一个完整的突破靶场替代。

安装

在ubuntu16.04下安装docker / docker-compose:

#安装pip 

curl -s https://bootstrap.pypa.io/get-pip.py | python3

#安装最新版docker 

curl -s https://get.docker.com/ | SH

#启动docker服务

服务docker启动

#安装compose 

pip install docker-compose

其他操作系统安装docker和docker-compose可能会有些许不同,请阅读Docker文档进行安装。
启动环境

环境搭建好以后我们使用管理员账号密码登陆,这个漏洞是需要管理员权限的
漏洞点是在一个API处,存在EL表达式注入漏洞


我们这里直接用MSF进行漏洞利用(如果第一次执行失败,在执行一次)




评论

暂无
发表评论
 返回顶部 
热度(39)
 关注微信