目录导航
0x00 关于本文
是的没错我又去蹂躏安全工具了,和以前我单个单个地欺负不同,这次发现的攻击手段是通用的,可以通杀大部分源码泄露漏洞利用程序。 本文会包含常见泄露漏洞的原理介绍(Git/Svn),利用工具自身的安全风险分析,简单易懂的POC制作方式,针对常见工具的攻击测试,以及提升反制威力的方法及展望。
0x01Git泄露:漏洞原理介绍
Git是什么大家应该都很清楚,有些开发人员直接把代码clone到服务器的web目录来部署,但是开发人员或许不知道的是,clone下来的不只是代码,还有一个.git目录,这个目录被叫做版本库。攻击者可以通过访问这个目录,解析其中的文件,dump整站源码。想要更深入地理解Git泄露漏洞,了解攻击流程,就需要了解.git目录的结构
tree一下这个目录,发现内容如下
index文件中包含了这个项目中的各个文件的信息,包括文件路径和Git对象的对应的40位哈希值。在这里我们不需要对Git对象理解的很深入,只需要知道里面包含了文件内容,是让攻击者垂涎欲滴的东西就可以了。 想要拿到Git对象,就需要转去objects目录。objects目录存放了所有的git对象,对于一个git对象,40位哈希的前两位会作为目录名,而后面的38位会作为文件名,存在objects下面。
举个例子,一个Git对象那个的hash是cb75d8439f004f41d5f85ffa5f8d017df395651a,那么它就会被存在cb/75d8439f004f41d5f85ffa5f8d017df395651a.
知道了这些信息之后,就可以知道Git泄露攻击是如何进行的了,首先攻击者访问index文件,解析后得到文件名和对象哈希。接着按着对象哈希一个一个去objects目录获取到Git对象,解析后得到文件。
0x02 Git泄露利用工具的安全风险
显而易见的,手动解析index文件并去下载然后再去解析Git对象是一项烦人又重复的活,因此有大量的工具被开发出来解放黑客们的双手。这些工具可以将整个攻击流程自动化,自动下载项目的所有文件,并且重建整个项目的目录结构。 但是在这个过程中存在一个严重的安全风险,这些工具在重建项目的目录结构的时候,往往没有考虑到路径穿越风险,而是直接将目录连接起来,因此通过创建恶意的git目录可以在攻击者的磁盘中写入任意文件,实现远程代码执行!
0x03 简单易懂的POC制作方式
直接用git工具制作POC是不可行的,它会提示文件在仓库之外
好在有个叫做GitPython的库不关心这个问题,因此可以用GitPython来生成POC.
首先在仓库外的某个目录放一个文件,该文件会写入到攻击者的电脑上的相同路径。
接着打开python,用GitPython将其加入项目中然后commit,注意,要用../../../(很多个../)加上文件的绝对路径的方式来加入。
在下图生成的POC中,POC只是为了证明可以写到非预期目录,只加了一个../
在执行完了后,整个git项目的文件夹就成了蜜罐
0x04 对常见工具的测试
为了试验该手段的通用性,使用常见工具对蜜罐进行测试,以文件是否成功写入到非预定目录为判断标准。
一个成功的例子如图,dumpall工具将tohacker.txt写到了预期目录192.168.208.190_None之外。
测试结果如下表所示
| 工具名称 | 工具地址 | 攻击是否成功 |
| GitHack | https://github.com/lijiejie/GitHack | 是 |
| GitHack | https://github.com/BugScanTeam/GitHack | 是 |
| dumpall | https://github.com/0xHJK/dumpall | 是 |
| GitHacker | https://github.com/WangYihang/GitHacker | 是 |
| dvcs-ripper | https://github.com/kost/dvcs-ripper | 否 |
| git-dumper | https://github.com/arthaud/git-dumper | 是 |
在测试的工具中,除了dvcs-ripper外全部攻击成功(dvcs-ripper失败原因还没分析),证明了该反制手段的通用性
0x05 Svn泄露原理
Svn和Git类似,也是一种版本管理工具。 有些开发人员在部署的时候偷懒,没有通过”export“的方式将代码导出,而是直接拷贝目录,导致下面的.svn文件夹也被拷贝了。(嗯,和Git泄露如出一辙啊)
和Git不同,Svn的泄露有两种可能的情况。
当Svn版本小于1.6的情况下(也有说1.7的,没试),.svn文件夹中的entries会以明文存储目录和文件信息。其中包含了文件名,这个时候访问/.svn/text-base/文件名-.svn-base就可以拿到文件。
当Svn版本更高的情况下,.svn文件夹中的entries不会包含目录和文件信息,攻击者首先需要访问/.svn/wc.db文件,这个文件是个sqlite3数据库,其中的Node表中包含了文件的信息,包括文件名和哈希等。在获取到这些信息后,访问/.svn/pristine/哈希的前两位/哈希.svn-base即可访问到文件.
举个例子,有一个文件对应的哈希是a94a8fe5ccb19ba61c4c0873d391e982fbbd3,那其路径为/.svn/pristine/a9/a94a8fe5ccb19ba61c4c0873d391e987982fbbd3.svn-base。
0x06 简单易懂的POC制作方式
针对低版本的Svn,我抄袭了这里的格式,使得POC如下图所示。首先entries的开头为”10″,表示自己是个低版本的Svn的文件,接着按照之前写Git的POC的方式写个恶意的文件路径,然后空行写个”file”,以此表明上面写的路径是个文件,最后把文件放在对应的Web目录以便于扫描器去下载。
高版本的Svn有些复杂,于是我找了个网站来生成Svn项目,并用TortoiseSVN添加文件再checkout到目录中,这个时候就可以看到.svn目录了。接着再用SQLite编辑工具编辑目录中的wc.db中的Node表,更改文件目录为恶意路径。最后再如法炮制放置文件即可
0x07 对常见工具的测试
测试的方式和标准与测试Git泄露利用工具的标准一致,但是优先测试低版本的泄露,如果低版本的泄露无效再测试高版本的(人都是懒惰的),测试结果如下表所示
| 工具名称 | 工具地址 | 攻击是否成功 |
| svnExploit | https://github.com/admintony/svnExploit | 是 |
| SvnHack | https://github.com/callmefeifei/SvnHack/ | 是(必须放在根目录) |
| Seay-Svn | https://github.com/Introspelliam/tools/ | 是 |
| dumpall | https://github.com/0xHJK/dumpall | 是(只支持高版本) |
| svn-extractor | https://github.com/anantshri/svn-extractor | 是 (只支持高版本) |
| dvcs-ripper | https://github.com/kost/dvcs-ripper | 否(跑不起来且不想跑,perl写的东西没一个用着省心的) |
在测试的工具中,除了dvcs-ripper外全部攻击成功(这玩意跑都跑不起来),证明了该反制手段的通用性
0x08如何提升杀伤力的
如果只是在非预期的目录写一个文件的话并不能达成反制效果,因此有如下几种方法可以参考使用(未经测试仅供参考):
- 对于类unix系统可以写入crontab,增加定时任务,反弹shell回来
- 对于Windows系统可以写入开始菜单启动项,或者dll劫持
- 可以把攻击工具的脚本给替换掉,下次执行就能上线
除此之外,可以通过发来的包的TTL值判断操作系统(Windows默认是128,Linux是64或者255),实现更精准的反制
0x09展望
很显然,这种手法不只适用于Git/Svn泄露的利用程序,什么DS_STORE,Java任意文件下载利用,估计都跑不了。