gitlab访问令牌使用_GitLab:通过路径遍历搞定管理员账户

最新推荐文章于 2024-03-30 03:13:34 发布
最新推荐文章于 2024-03-30 03:13:34 发布
阅读量440 收藏
点赞数 1
文章标签: gitlab访问令牌使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39875031/article/details/111863341
版权

0x00 前言

随着规模的不断扩大,现在大多数web应用都不再单打独斗,需要依赖其他应用来实现其完整功能。根据对端API的具体情况,我们可以通过各种方式来调用其他web应用。在本文中,我们将讨论web应用对REST API的调用以及存在的一些安全风险。

Representational State Transfer(表述性状态传递,简称REST)是基于HTTP的一种协议,可以使用各种HTTP方法(如GET/POST/PUT/DELETE)来与远程API端点交互。

两个web应用通过REST交互时可能存在一些问题,下面我们来看一个具体案例(GitLab),了解其中的安全风险。

0x01 GitLab客户登录口

GitLab通过customers.gitlab.com对外提供各种增值服务,比如GitLab的订阅服务(subscription)以及CI分钟数购买等。customers源码不对外公开,因此下面我会使用一些相关的代码片段来演示问题所在。

customers站点需要与gitlab.com API交互,以便gitlab.com获取相关信息(比如客户已购买的CI分钟数)。这里customers会使用HTTParty向gitlab.com API发起HTTP请求。

PUT请求如下所示:

def put(path, *args)

options = valid_options(args)

HTTParty.put(full_url(path), options)

end

private

def full_url(path)

URI.join(BASE_URL, path).to_s

end

对put方法的调用如下所示:

response = Client::GitlabApp.put("/api/v4/namespaces/#{@namespace_id}", body: @attrs.to_json, token: API_TOKEN)

在上述代码中,Client::GitlabApp用来更新gitlab.com上的订阅。当客户将订阅从一个命名空间移动到另一个命名空间时,就会执行该操作。用户可以控制body: @attrs.to_json)。API_TOKEN为gitlab.com API对应的访问令牌,具备admin权限。这里调用Client::GitlabApp.put时存在安全隐患:攻击者可以将../other/path,遍历gitlab.com API上的路径,从而可以跳出/api/v4/namespace/的限制,访问其他API端点。

这种类型的攻击称为路径(或者目录)遍历攻击,是非常常见的一种问题。当代码中使用了路径参数时(如文件系统访问或者解压归档文件时),就有可能发生这种情况。

0x02 攻击影响

当我们考虑该漏洞的影响以及利用方式时,情况会变得更有趣一些。由于我们无法控制PUT操作的payload(@attrs.to_json),大家可能直观上会认为该遍历漏洞的影响范围非常有限。在REST中,PUT操作用来更新已有的资源。通常情况下,待更新的资源属性会通过HTTP请求的body段来发送(这里也就是经过JSON编码的

gitlab.com上的API端点采用Grape实现,在参数处理过程中,任何PUT/POST参数会与基于路径的GET参数合并,生成params哈希。这意味着除了PUT操作中的body: @attrs.to_json payload之外,我们还可以使用未经过滤的../方式遍历API端点,还可以将?some_attribute=our_value附加到

0x03 漏洞利用

如前文所述,我们已经可以在gitlab.com API上使用admin令牌在请求中实现路径遍历及属性注入,因此我们已经掌握了非常强大且通用的攻击方法。当我们在GitLab的staging环境中调查及验证该问题时,发现可以通过这种方式将常规账户提升至admin。实际使用的payload非常简单:../users/?admin=true,该payload会向https://gitlab.com/api/v4/users/?admin=true地址发起PUT请求。

在staging环境中,漏洞利用payload如下所示(使用Chrome开发者工具):

攻击成功后,我们能看到一个专属图标,此时目标账户就可以访问admin页面:

这里我们使用的是GitLab Bronze订阅的“Change linked Group”功能来完成修改操作。这种攻击方式也可以配合已购买的CI分钟来使用,我们只需要花费8美元,再配合数次点击操作,就能变成gitlab.com上的admin。

0x04 缓解措施

我们的Fulfillment Backend Team迅速解决了该问题。现在应用会将

0x05 总结

现代应用在通过API调用使用后端服务时,可能会出现一些安全风险,本文就是一个非常典型的案例。将路径遍历漏洞与API调用中的属性注入技术结合起来后,攻击者就可以造成非常严重的影响。即便该问题位于customers.gitlab.com的代码库中,攻击者还是可以利用该缺陷在gitlab.com上提升用户权限。

weixin_39875031
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
integration_gitlab::fox:GitLab集成到Nextcloud
04-27
GitLab集成到Nextcloud :fox: 在您的引擎中放一只狐狸! 该应用程序添加了一个仪表板项目...管理员设定如果要允许您的Nextcloud用户使用OAuth对特定的GitLab实例进行身份验证,则还有一个“已连接帐户”管理设置部分。
api获得全部项目 调用gitlab_Gitlab API适用于组下的所有项目
weixin_39612554的博客
12-19 1303
I want to get a list of all the projects which are under a particular group in Gitlab. Here is the example scenario:Group A (id: 1) has 3 ProjectGroup A / Project 1Group A / Project 2Group A / Project...
gitlab访问令牌使用_如何从命令行获取GitLab个人访问令牌
weixin_39726697的博客
12-22 1981
Is there any possibility to get Personal Access Token for Gitlab API via command line rather than web interface? I'm working on some integration tests, and Gitlab deployment into the clean environment...
gitlab设置令牌,在vscode中git 不用每次输入账户密码了
最新发布
2401_84007015的博客
03-30 538
打开GitLab → 左侧 设置 → 访问令牌 → 输入用户名 → 选择有效期 → 勾选选项 → 创建访问令牌 → 创建后最上方出现 新项目的访问令牌 复制。
Gitlab管理之二十–通过API管理Gitlab中的项目
运维阿峰
07-25 5872
1. 简介 Gitlab有一个非常强大的API,几乎可以通过API管理在Gitlab服务器中的所有项目。 在这里我们只是测试终端点的API, 因此我们需要一个程序来进行测试 。在这里我使用的是针对Google浏览器的Postman. Download Postman:http://goo.gl/SmDU3j 在生产环境中,不会使用Postman,会使用公司自己有的应用。这里只是测试目的 2...
linux shell脚本:通过API实现git仓库从gitee向gitlab的批量迁移(gitlab api)
学亮编程手记
02-11 1097
gitee-url.txt.2: [email protected]:proj1/javacode.git 迁移脚本: #!/bin/bash # gitlab访问凭证 PRIVATE_TOKEN="*********" # gitlab api url gitlab_api_url=https://git.zhangxueliang.com/api/v4 # gitlab test_project的namespace_id namespace_id=40 # 目标迁移仓库地址 gitlab_url=https
gitlab访问令牌使用_绕过电子邮箱域验证——非法绑定Gitlab邮箱从而访问其内部服务...
weixin_29798025的博客
01-06 936
我发现gitlab中最新的SCIM(跨域身份管理)功能可让gitlab中的任何组的所有者创建一个和已经经过验证的电子邮件相绑定的帐户。也就是说,我可以创建一个和电子邮件地址ngalog@gitlab.com相绑定的帐户,在gitlab.com看来,ngalog@gitlab.com是已经经过验证的内部帐户,可访问内部服务。这将给利用Gitlab作为身份验证的客户端带来问题,因为和ngalog@gi...
gitlab-ci-dashboard::bar_chart:监控GitLab CI构建和电视管道的仪表板
05-17
令牌:您的gitlab令牌 projects文件/项目: 使用projectsFile :包含要监视的项目列表的文件的url,请参见下面的创建方法 使用专案:要列出的清单或专案,请参阅下方的建立方式 gitlabciProtocol (可选):访问...
nexus-gitlab-token-auth-plugin:使用 Gitlab 用户令牌的 Nexus 身份验证
06-29
使用 Gitlab 用户令牌的 Nexus 身份验证 安装 在 sonatype-work/nexus/plugin-repository 下解压包 (target/nexus-gitlab-token-auth-plugin-0.1.0-SNAPSHOT-bundle.zip) 将sample/gitlab-plugin.xml复制并编辑到:...
gitlab_task_manager:Microsoft Todo启发了任务管理器,利用Gitlab的Issue Tracker作为后端
02-03
使用Gitlab标签管理任务列表 将任务添加到“我的一天” 为任务加星标以将其标记为重要 清除所有已完成的任务 对在Gitlab中显示为注释的任务留下注释 从应用程序创建新任务列表 使用主题标签分配任务标签(例如,“ ...
kube_gittlab_regcleaner:适用于Kubernetes管理员GitLab Registry清理程序
04-18
GITLAB注册清除器 ...GIT_TOKEN=asdasdasd -GitLab令牌(api,read_repository,read_registry) KubeStageConfigPath=/app/stage.conf -kubernetes配置路径(推荐权限-获取,列出,观看) KubeProdConfigPath=/a
GitLab Notifier for Google Chrome:trade_mark:-crx插件
04-03
输入这些 ·Gitlab路径 ·Gitlab API路径 ·私人令牌 ·Gitlab - >编辑个人资料 - >帐户 4.刷新存储库列表 5.检查活动 6.拯救 7.等一下 [更多文件] ...
cosmostation_token_resource:通过Cosmostation管理的令牌资源
03-21
Cosmostation的令牌资源 我们决定将此仓库用于验证者的图像和我们产品的令牌资产。 如何添加验证器图像 将此仓库分叉到您自己的github帐户 克隆fork并创建新分支 git clone git@github....
cdk-gitlab-runner:通过AWS CDK创建Gitlab Runner
03-31
欢迎来到cdk-gitlab-runner 此存储库模板可帮助您通过AWS CDK一行在AWS账户上创建gitlab运行程序。笔记默认值将帮助您生成以下服务: VPC 公共子网(2) EC2(1个T3.micro)在开始之前,您需要在gitlab project或...
gitlab-ci-action:触发gitlab CI构建的GitHub操作
05-22
:rocket: 适用于GitHub Actions的GitLab CI 触发作业的 。用法触发新的GitLab CI作业。 name : trigger gitlab jobon : [push]jobs : build : name : Build runs-on : ubuntu-latest steps : - name : trigger Job ...
gitlab-to-github-migration:将GitLab项目迁移到GitHub
02-04
警告 :warning: ... 注意:某些端点需要admin / sudo令牌,例如获取摘要。 跑 :rocket: php main.php 获取用户映射文件 这将为GitLab和GitHub用户名创建用户映射,并相应地更新其在注释,描述和受让人中的引
gitpanda:用于Slack的GitLab URL扩展器
02-08
Slack应用程序和OAuth访问令牌 参见 支持的URL格式 用户网址例如${GITLAB_BASE_URL}/:username 群组网址例如${GITLAB_BASE_URL}/:groupname 项目网址例如${GITLAB_BASE_URL}/:namespace/:reponame 发行网址例如$...
gitlab-mirror-post-fetch:与 https 兼容的 Post fetch 应用程序
06-07
查找 GitLab 用户私有令牌: ://my.gitlab.instance.com/profile/account 创建 SSH 私钥并将其公共部分添加到您的 GitLab 并填写表格: GITLAB_PRIVATE_TOKEN : 私有令牌 GITLAB_URL :GitLab 实例的地址 GITLAB...
tokensubscription.com::alarm_clock::money_bag::cowboy_hat_face:在以太坊主网上设置并忘记令牌的订阅。 #优胜者#WyoHackathon
02-05
订户使用ERC20标准的approve()函数控制令牌的流(启动,停止,暂停等)。 通常,随机数用于重播保护,但是的诀窍的核心是可重播的随机数,该随机数按定义的时间表工作。 结合ERC20配额和元交易,可以创建非常...
{"error_code":401,"error_code_name":"UNAUTHORIZED","error_message":"Unauthorized"}
10-22
如果你正在使用OAuth身份验证,你需要确保你的访问令牌(access_token)是有效的,并且已经被正确地传递到请求头中的Authorization字段中。如果你仍然无法解决问题,你可以检查你的身份验证凭据是否正确,并联系服务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值