私人专业黑客24小时接单微信_冰点黑客网:CVE-2019-11229详细分析 --git config可控-RCE

作者: admin 分类: 新闻动态 发布时间: 2022-07-01 15:30

冰点黑客网:CVE-2019-11229详细分析 --git config可控-RCE

2019年4月15号,gitea曾爆出过一个缝隙,恰逢其时对这个缝隙比较猎奇就着手

导读:何为“间谍”?《说文解字》解释道:“谍,军中反间也。”运用反间计当然需求三寸不烂之舌,这是“谍”的转义。“间”怎么会跟“谍”联络起来了呢?“间”本来写作“闲”,清代文字训诂学家段玉裁为《说文解字》所作的注释说:“开门月入,门有缝而月光可入。”因此“间”的转义便是门缝,泛指缝隙,有缝隙就可以运用反间计了,故称“间谍”。去研讨了一下,缝隙的描述是这样的:models/repo_mirror.go in Gitea before 1.7.6 and 1.8.x before 1.8-RC3 mishandles mirror repo URL settings, leading to remote code execution.在和朋友@hammer的一起研讨下,成功操控了git config的内容,但是在从git config到RCE的进程遇到了困难,就暂时放置了,在过了几个月之后,偶尔得到@Lz1y和@x1nGuang两位大佬的启示,成功复现了这个缝隙,下面我们就来细心研讨下这个问题。剖析补丁首要依据cve的信息,确认缝隙1.7.6和1.8.0-rc3上修正https://github.com/go-gitea/gitea/releases/tag/v1.7.6https://github.com/go-gitea/gitea/releases/tag/v1.8.0-rc3依据缝隙文件为repo_mirror.go这个信息确定更新的commit,commit主要为 #6593和#6595https://github.com/go-gitea/gitea/pull/6595/commits/52af826a7aa1df6ab538d881db236698cb367cd7依据patch可以大致确定问题的要害点/models/repo_mirror.go当库房为mirror库房时,settings页面会闪现关于mirror的装备if !repo.IsMirror {        ctx.NotFound("", nil)        return    }patch中将本来的修正装备文件中的url选项修正为NewCommand。很简略了解,将写入文件更改为实行命令,这种修正办法必定是因为写入文件存在无法修正这个问题的困境,那么这也就说明url这儿可以通过传入百分之0d百分之0a来换行,导致修正config中的其他装备。 操控 gitconfig跟从前面的逻辑,首要我们新建一个miGh0st的流量具有非常典型的特征,很多远控其实都是通过Gh0st源码改的,所以大致的格式都差不都,一段标识码+Zlib紧缩的数据(怎样知道是zlib呢?zlib紧缩的头部标明是\x78\x9c),通过这个特性,可以在流量侧对这些远控进行检测或解析流量数据,这也是现在大多数IDS/态势感知产品所用到的办法之一。rror库房。抓包并修正mirror_address为相应的特点。mirror_address=https百分之3A百分之2F百分之2Ftest百分之3A百分之40github.com百分之2FLoRexxar百分之2Ftest_for_gitea.git"""百分之0d百分之0a[core]百分之0d百分之0atest=/tmp百分之0d百分之0aa="""可以传入各种装备,可以操控config文件的内容。比较风趣的是,假如你更新同步设置时,服务端还会格式化装备。 进一步运用而重要的是怎么从config文件可控到下一步运用。首要,git服务端只会保存.git里的内容,并不是没有做日志记载因为时间联络。完好的相似我们客户端运用的git库房。所以很难引进外部文件。不然就可以通过设置hook目录来完成RCE,这种思路的要害点在于找到一个可控的文件写入或许文件上传。其次,别的一种思路便是寻觅一个可以实行命令的装备,并寻觅一个可以触发相关装备的长途装备。https://git-scm.com/docs/git-config 通过写文件合作 githook path RCE在git中,存在一个叫做Git Hook的东西,是用于在处理一些操作的时,相应的hook就会实行相应的脚本。在web界面,只要gitea的办理员才干办理git hook,所以关于普通用户来说,我们就不能直接通过修正git hook来修正脚本。但我们却可以通过操控git config来修正hook寄存的目录。当我们结构发送mirror_address=https百分之3A百分之2F百分之2Fgithub.com百分之2FLoRexxar百分之2Ftest_for_gitea.git"""百分之0d百分之0a[core]百分之0d百分之0ahooksPath=/tmp百分之0d百分之0aa="""服务端的config文件变为

[1] [2]  下一页

break; {第一步是获取主机上全部容器的列表。为此,你需求实行以下ht

现在,我们再次在IE中右键单击 ->“将政策另存为”。转到下拉菜单“保存类型”,然后选择“全部文件”。你已保存的ps1文件将被闪现,你可以选择“工作 PowerShell”这会弹出一个PowerShell命令提示符。但其时的PowerShell提示符处于言语捆绑方式。我们可以通过自动化变量$ExecutionContext.SessionState.LanguageMode进行验证,可以看到效果为ConstrainedLanguage。

私人专业黑客24小时接单微信_冰点黑客网:CVE-2019-11229详细分析 --git config可控-RCE

1.PUBLIC:病毒在本地生成的RSA密钥对中的公钥部分PTRACE_SYSCALL:继续工作,但是会在下一个系统调用进口暂停工作。Find-PotentiallyCrackableAccounts -Domain "pentestlab.local"

动态敌对:数据擦除功用,可彻底清除存储介质中残留数据这儿包含一个iframe,而且该iframe仍是外部链接的!

在脱离系统之前,我们有必要设置一个可以坚持对暴露在公网的服务器访问的办法,以供日后运用。在这一步,不被发现并不简略,即便是新手系统办理员也会发现一些端倪。或许有人会认为这不算缝隙。但Korznikov认为它仍是有很高的运用价值,他举了个比如来说明:meterpreter > shell冰点黑客网:CVE-2019-11229详细分析 --git config可控-RCE

PARAM name="Item2"value="273,1,1"> deny all;(2)自动调用躲藏函数hidden_fu

要检查已设备驱动程序的列表:C:\Users\sanr> net user sanr

dvr_usr= Cookies.get("dvr_usr");

又比如,部分软件会有自动联接网络的权限要求。或许顾客会很乖僻为什么无需联网的游戏要求这样的权限,答案也很简略,为了自动更新软件而进行预下载,或许是免费软件中的广告推送,以上种种情况都需求通过网络获取信息。

本文标题:冰点黑客网:CVE-2019-11229详细分析 --git config可控-RCE

更多阅读