Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

0
0

群里发了个gitea rce的 issue ,跟进看了一下,顺便记录一下

分析commit

当时(12-20)gitea还没修复,gogs有commit,分析commit


gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析
gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

猜想是跨目录上传伪造的管理员session文件,覆盖当前的session文件,导致权限提升

分析代码
gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

首先上传一个文件,如果上传成功,就会在数据库中存入这条数据(351行)


gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析
gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

从表单中获取刚刚上传文件的uuid,传入UploadRepoFiles中


gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

从数据库中获得刚刚文件的数据结构(uuid, 文件名)


gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

目标路径和文件名进行拼接,然后将上传的文件cp到目标文件夹下

问题就出在这里,因为文件名可控并且没有过滤 ../ ,所以就可以控制 targetPath ,造成目录穿越,将这个文件上传到我们想传的任何地方(权限允许)。所以可以生成一个管理员session文件,上传到当前的session文件夹下 uid[0]/uid[1] ,uid已知就在cookie里
gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析
验证

已知管理员用户名为: luckycat

用ph师傅的go程序生成管理员session link

然后新建一个仓库,选择上传文件

上传刚刚生成的session文件,用burp拦截,将文件名改为正好能穿越到当前用户的session文件夹下,上传完文件后,提交变更后,发现已经成为管理员了


gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

RCE部分使用git hook来进行

绕过

gogs最初的修复(12-20)存在绕过

https://github.com/gogs/gogs/commit/8c8c37a66b4cef6fc8a995ab1b4fd6e530c49c51

这里归功于@spine和@HeartSky的细心发现


gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

进行组合就能绕过

https://play.golang.org/p/z8ZWQYbLVCO

修复

更新到最新版本

参考

https://www.leavesongs.com/PENETRATION/gitea-remote-command-execution.html


Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images