Git中出乎意料的攻击面

• 每一次commit的相关操作
• 临时修改的内容
• 修改文件的索引
• git基础配置
• 服务端和客户端的钩子事件

其中，我们此时提交的commit 如下：

• Blob（Binary Large Object）：存储文件的内容；
• Tree：存储目录结构和文件名到 blob 引用的映射；
• Commit：存储指向 tree 对象的引用，以及提交信息（如作者、日期、父提交等）；
• Tag：可以指定一些特殊的commit。

这些文件我们可以使用指令：

每一个tree正好也对应了当前修改的目录和文件，尝试访问可以得到如下结果：

我们可以总结出这些文件的特征：

• 子模块的名字，体现在--name参数上，我们这里写作<name>；
• 子模块的路径，这个为倒数第二个参数，这里写作<submodule_repo>；
• 子模块在主仓库中的名字，这里写作<submodule_path>。

之后我们会反复使用这三个概念来描述不同的术语。

例如我们有另一个库，叫做submodule-repo，里面有一个文件叫做submodule.txt，内容如下：

1. 将其作为一个叫做submodule的库，添加到当前的库中：

• name:x/y
• submodule_repo:../submodule-repo
• submodule_path: submodule

此时我们再次检查main-repo的目录，结果如下：

• 根据submodule_path创建的submodule目录，里面包含了submodule-repo的内容，其中这里的.git为符号链接，指向../.git/modules/submodule，也就是<target_repo>/.git/modules/<name>这个路径；
• .gitmodules文件；
• .git目录中新增了modules，里面包含了一个由<name>命名的submodule的目录，如果此处使用了--add name，此时目录名字会被替换成name；在这个例子中，目录被替换成了二级目录x/y，同时这个目录中包含的是submodule-repo中.git的全部内容。

这里的.gitmodules文件记录了当前submodule的基本情况：

• 引号部分记录的正是参数--add name后方的<name>也即是x/y；
• path 中记录了模块在这个仓库中的路径<submodule_path>，也就是我们最后跟着的参数，这个是【submodule实际的存放路径，以及检出后存放的路径】；
• url 中则记录了对应的路径<submodule_repo>，是倒数第二个参数。

此时，.git/config下的文件也会发生变化：

同时我们也注意到，此时git会将子项目目录中的.git放到当前目录的.git中，存放规则为：

整个submodule的clone过程，根据逆向分为两个部分：

1. 尝试将对应仓库的.git单独clone下来，但是不进行checkout，根据分析代码，其指令大致如下：

假设我们在添加目录的时候，<name>写作../../test，那么实际上，添加的目录就变成了：

1. 我们此时可以将一个远端仓库的文件写入任意目录

2. 远端仓库的文件名和文件内容是可以任意决定的

那么结合git提供的各种特性，不难想到此时可以利用hooks中的各种文件进行rce操作。

然而要如何让我们的文件落入到指定的hooks目录中呢？那么此时就要考虑到另一个特性：

3. submodule.name会决定我们的submodule拷贝的时候会拷贝到哪个目录

换句话说，实际上选择路径：

这里我们<a ""="" class="weapp_text_link js_weapp_entry" href="">参考的攻击脚本中，由于涉及两个repo的操作（利用第二个repo触发漏洞），它将其中一个(evil)repo中的.git改向了伪造后的fake_dir/modules/submod/.git，主要是为了保证git commit能够工作，从而让提交能够成功。我们这边就完全按照它的exp来模拟整个攻击：

1. 创建一个fakegit目录作为伪造的文件夹，同时为了保持git的目录结构，其内容一定要为：

2. 添加两个准备用于触发的子模块，第一个用于布置漏洞，第二个用于触发hook：

3. 将此时生成好的.git/modules/submod拷贝到fakegit/modules/submod：

• 为了保障git的一致性，修改fakegit/.git中的内容，使其指向fakegit/modules/submod

5. 提交修改，commit，完成所有操作；

6. 当受害者尝试拷贝git repo内容的时候，最终会因为识别到错误的目录，最终触发对应的post-checkout文件，实现RCE。

这次的漏洞依然发生在git clone阶段，并且同样是操作submodule模块。利用方式和之前类似，不过这次通过劫持.git目录，从而导致文件写入的发生。

这个漏洞git的官方仓库中给了测试用例，用来检测漏洞是否存在：

后半段为漏洞的主要成因，其首先创建了一个叫做captain的仓库，然后调用了这个指令：

• <name>:x/y
• <submodule_repo>:$hook_repo_path
• <submodule_path>:A/modules/x

当调用这个指令之后，git会做如下的事情：

• 在captain目录中创建一个叫做A/modules/x的子目录，这个目录将会存放来自"$hook_repo_path"(也就是前面添加的hook仓库)中的所有内容；
• 上述步骤中，拷贝到captain仓库的hook仓库中的.git文件被替换成符号链接，指向 ../../../.git/modules/x/y，也就是<target_repo>/.git/modules/<name>的路径，这里会存放真正的hook的.git目录；
• 在captain的.git目录中的modules目录下，创建x/y目录，并且往其中拷贝所有的hooks/.git的内容；
• 创建.gitmodule目录。

此时，captain中比较重要的文件结构如下：

1. 实际存放了hook仓库中.git的路径

最后执行：

此时，我们可以模拟以下整个攻击流程：

当我们在进行clone的时候，程序首先尝试将captain目录拷贝下来，执行ed64559167的操作，此时根据顺序，首先会创建这样的目录（tree）

• 当进行clone操作前，目的地址为空；
• 完成预备环境准备后(safe_create_leading_directories_const)和submodule的clone（但是不立即检出check-out工作目录中的文件）(run_command(&cp))后，程序检查目标目录中是否仅包含.git文件。

此时这里的submodule的clone操作实际上执行的。

而根据我们之前的漏洞分析，clone_data_path，也就是<target_repo>/<name>，target_repo/A/modules/x/。如果未有漏洞的影响下，此时的路径实际上是：

Git 类的漏洞代表了非常典型的一种类型逻辑漏洞：较为复杂的功能之下容易掩盖一些被人们忽略的攻击面。在研究这个漏洞之前，笔者也未在意过这类工具底层实现的细节。在使用工具的时候，可以额外关注工具的实现细节，往往会发现一些意想不到的完全问题。

2、<a ""="" class="weapp_text_link js_weapp_entry" href="">CVE-2018-11235 git RCE

未经作者同意，不得转载