[好文转载] 通用的针对源码泄露利用程序的反制(常见工具集体沦陷)

申明：本次测试只作为学习用处，请勿未授权进行渗透测试，切勿用于其它用途！

原文地址(外网文章)：

https://drivertom.blogspot.com/2021/08/git.html?m=1

不可多得的好文 推荐阅读！！！写的太好了 很难让人有不转载的冲动

HW蓝队反制新思路

"如有侵权 麻烦私聊公众号删文"

关于本文

    是的没错我又去蹂躏安全工具了，和以前我单个单个地欺负不同，这次发现的攻击手段是通用的，可以通杀大部分源码泄露漏洞利用程序。

    本文会包含常见泄露漏洞的原理介绍（Git/Svn），利用工具自身的安全风险分析，简单易懂的POC制作方式，针对常见工具的攻击测试，以及提升反制威力的方法及展望。

1.Git泄露：漏洞原理介绍

Git是什么大家应该都很清楚（不知道Git是啥的人多半是不肯来光临这个博客的）

    有些开发人员直接把代码clone到服务器的web目录来部署，但是开发人员或许不知道的是，clone下来的不只是代码，还有一个.git目录，这个目录被叫做版本库。攻击者可以通过访问这个目录，解析其中的文件，dump整站源码。

    想要更深入地理解Git泄露漏洞，了解攻击流程，就需要了解.git目录的结构

    tree一下这个目录，发现内容如下

index文件中包含了这个项目中的各个文件的信息，包括文件路径和Git对象的对应的40位哈希值。在这里我们不需要对Git对象理解的很深入，只需要知道里面包含了文件内容，是让攻击者垂涎欲滴的东西就可以了。

    想要拿到Git对象，就需要转去objects目录。objects目录存放了所有的git对象，对于一个git对象，40位哈希的前两位会作为目录名，而后面的38位会作为文件名，存在objects下面。举个例子，一个Git对象那个的hash是cb75d8439f004f41d5f85ffa5f8d017df395651a，那么它就会被存在cb/75d8439f004f41d5f85ffa5f8d017df395651a。

    知道了这些信息之后，就可以知道Git泄露攻击是如何进行的了，首先攻击者访问index文件，解析后得到文件名和对象哈希。接着按着对象哈希一个一个去objects目录获取到Git对象，解析后得到文件。

2.Git泄露工具的利用风险

显而易见的，手动解析index文件并去下载然后再去解析Git对象是一项烦人又重复的活，因此有大量的工具被开发出来解放黑客们的双手。这些工具可以将整个攻击流程自动化，自动下载项目的所有文件，并且重建整个项目的目录结构。

    但是在这个过程中存在一个严重的安全风险，这些工具在重建项目的目录结构的时候，往往没有考虑到路径穿越风险，而是直接将目录连接起来，因此通过创建恶意的git目录可以在攻击者的磁盘中写入任意文件，实现远程代码执行！

3.简单易懂的POC制作

直接用git工具制作POC是不可行的，它会提示文件在仓库之外

好在有个叫做GitPython的库不关心这个问题，因此可以用GitPython来生成POC。

    首先在仓库外的某个目录放一个文件，该文件会写入到攻击者的电脑上的相同路径。

    接着打开python，用GitPython将其加入项目中然后commit，注意，要用../../../(很多个../)加上文件的绝对路径的方式来加入。

    在下图生成的POC中，POC只是为了证明可以写到非预期目录，只加了一个../

在执行完了后，整个git项目的文件夹就成了蜜罐

4.对常见工具的测试

为了试验该手段的通用性，使用常见工具对蜜罐进行测试，以文件是否成功写入到非预定目录为判断标准。

    一个成功的例子如图，dumpall工具将tohacker.txt写到了预期目录192.168.208.190_None之外。

测试结果如下表所示

 在测试的工具中，除了dvcs-ripper外全部攻击成功（dvcs-ripper失败原因还没分析），证明了该反制手段的通用性

5.Svn泄露原理

Svn和Git类似，也是一种版本管理工具。

  有些开发人员在部署的时候偷懒，没有通过”export“的方式将代码导出，而是直接拷贝目录，导致下面的.svn文件夹也被拷贝了。（嗯，和Git泄露如出一辙啊）

    和Git不同，Svn的泄露有两种可能的情况。

    当Svn版本小于1.6的情况下（也有说1.7的，没试），.svn文件夹中的entries会以明文存储目录和文件信息。其中包含了文件名，这个时候访问/.svn/text-base/文件名-.svn-base就可以拿到文件。

    当Svn版本更高的情况下，.svn文件夹中的entries不会包含目录和文件信息，攻击者首先需要访问/.svn/wc.db文件，这个文件是个sqlite3数据库，其中的Node表中包含了文件的信息，包括文件名和哈希等。在获取到这些信息后，访问/.svn/pristine/哈希的前两位/哈希.svn-base即可访问到文件。举个例子，有一个文件对应的哈希是

a94a8fe5ccb19ba61c4c0873d391e982fbbd3，

那其路径为

/.svn/pristine/a9/a94a8fe5ccb19ba61c4c0873d391e987982fbbd3.svn-base。

6.简单易懂的POC制作

针对低版本的Svn，我抄袭了这里的格式，使得POC如下图所示。首先entries的开头为"10"，表示自己是个低版本的Svn的文件，接着按照之前写Git的POC的方式写个恶意的文件路径，然后空行写个"file"，以此表明上面写的路径是个文件，最后把文件放在对应的Web目录以便于扫描器去下载。

高版本的Svn有些复杂，于是我找了个网站来生成Svn项目，并用TortoiseSVN添加文件再checkout到目录中，这个时候就可以看到.svn目录了。接着再用SQLite编辑工具编辑目录中的wc.db中的Node表，更改文件目录为恶意路径。最后再如法炮制放置文件即可

7.对常见工具的测试

测试的方式和标准与测试Git泄露利用工具的标准一致，但是优先测试低版本的泄露，如果低版本的泄露无效再测试高版本的（人都是懒惰的），测试结果如下表所示

    在测试的工具中，除了dvcs-ripper外全部攻击成功（这玩意跑都跑不起来），证明了该反制手段的通用性

8.如何提升杀伤力

如果只是在非预期的目录写一个文件的话并不能达成反制效果，因此有如下几种方法可以参考使用（未经测试仅供参考）：

1. 对于类unix系统可以写入crontab，增加定时任务，反弹shell回来

2. 对于Windows系统可以写入开始菜单启动项，或者dll劫持

3. 可以把攻击工具的脚本给替换掉，下次执行就能上线

    除此之外，可以通过发来的包的TTL值判断操作系统(Windows默认是128，Linux是64或者255)，实现更精准的反制

9.展望

很显然，这种手法不只适用于Git/Svn泄露的利用程序，什么DS_STORE，Java任意文件下载利用，估计都跑不了。

• 往期精彩推荐
  

• 经验分享 |  文件上传个人bypass总结
  

• 经验分享 | mssql注入实战总结之狠快准绕

❤️爱心三连击

1.关注公众号「F12sec」！

2.本文已收录在F12sec官方网站：http://www.0dayhack.net/

3.看到这里了就点个关注支持下吧，你的「关注」是我创作的动力。

公众号：F12sec

QQ群：884338047

官方网站：http://www.0dayhack.net/

这是一个终身学习的团队，他们在坚持自己热爱的事情，欢迎加入F12sec，和师傅们一起开心的挖洞～

        关注和转发是莫大鼓励❤️