本文首发地址 :
先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。
先知技术社区投稿邮箱:Aliyun_xianzhi@service.alibaba.com
前言 :
漏洞已经报告给厂商 , 不过厂商并不认为这个是一个严重的漏洞
因为 GitBook 网站在编译 Markdown 的书籍的时候是在 LXC 环境下进行的
其实只是一个虚拟的环境 , 并不能读取到敏感的数据
image.png
挖掘过程 :
漏洞报告 PDF : https://drive.google.com/file/d/0B3gR_-XJ9Er3ZnhjSnFReW5PMDA/view?usp=sharing
其实过程和之前的 CVE-2017-15690 几乎一模一样
http://www.jianshu.com/nb/15767357
http://www.jianshu.com/p/fae6e1484c23
漏洞的成因都是因为没有处理好 Linux 下的符号链接文件 , 导致任意文件读取的
漏洞需求 :
首先需要攻击者需要拥有一个 GitHub 账号 , 一个 GitBook 账号 , 并且将两个账号关联 , 使 GitBook 账号可以使用 GitHub 中的仓库来创建书籍
利用步骤 :
- 在 GitHub 上创建一个仓库
- 将空的仓库克隆到本地
- 使用命令在仓库中初始化一个书籍
gitbook init
- 在仓库的某一个目录下 (或者根目录) 创建一个符号链接文件 , 例如
ln -s /etc/passwd ./passwd.md
注意后缀名必须为 .md
1.png
- 编辑仓库根目录的 SUMMARY.md 将刚才创建的符号链接文件添加至该文件的目录结构中
2.png
- 执行命令 , 编译该书籍
gitbook serve
# 编译并在本地搭建 web 服务器 可以用来直接访问查看效果
3.png
- 访问发现确实读取到了本机的 /etc/passwd 文件
4.png
- 将本地仓库提交并 push 到 GitHub, 然后在 GitBook 中就可以看到读取到的目标服务器的文件了
5.png
6.png
7.png
POC :
https://wangyihang.gitbooks.io/awesome-web-security/content/vulnerabilities/passwd.html
白盒分析 :
https://github.com/GitbookIO/gitbook
下载代码, 定位到解析 SUMMARY.md 的函数
判断是否是一个文件
路径清洗函数
定义 MarkDown 文件的配置文件
在黑盒测试的时候就已经发现, 符号链接文件必须是 .md 才可以
image.png
这里是读取文件的函数 , 可以看到在读取之前并没有对文件是否是符号链接文件进行判断
这样也就造成了这个漏洞
修补方案 :
在编译时 , 判断文件是否是符号链接 , 如果是则跳过对该文件的编译
网友评论