美文网首页
[CVE-2017-15688]GitBook 任意文件读取漏洞

[CVE-2017-15688]GitBook 任意文件读取漏洞

作者: 王一航 | 来源:发表于2017-10-31 08:43 被阅读443次

本文首发地址 :

https://xianzhi.aliyun.com/forum/read/2258.html

先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。
先知技术社区投稿邮箱:Aliyun_xianzhi@service.alibaba.com


前言 :

漏洞已经报告给厂商 , 不过厂商并不认为这个是一个严重的漏洞
因为 GitBook 网站在编译 Markdown 的书籍的时候是在 LXC 环境下进行的
其实只是一个虚拟的环境 , 并不能读取到敏感的数据

image.png

挖掘过程 :

漏洞报告 PDF : https://drive.google.com/file/d/0B3gR_-XJ9Er3ZnhjSnFReW5PMDA/view?usp=sharing

其实过程和之前的 CVE-2017-15690 几乎一模一样

http://www.jianshu.com/nb/15767357
http://www.jianshu.com/p/fae6e1484c23

漏洞的成因都是因为没有处理好 Linux 下的符号链接文件 , 导致任意文件读取的

漏洞需求 :

首先需要攻击者需要拥有一个 GitHub 账号 , 一个 GitBook 账号 , 并且将两个账号关联 , 使 GitBook 账号可以使用 GitHub 中的仓库来创建书籍

利用步骤 :

  1. 在 GitHub 上创建一个仓库
  2. 将空的仓库克隆到本地
  3. 使用命令在仓库中初始化一个书籍
gitbook init
  1. 在仓库的某一个目录下 (或者根目录) 创建一个符号链接文件 , 例如
ln -s /etc/passwd ./passwd.md

注意后缀名必须为 .md

1.png
  1. 编辑仓库根目录的 SUMMARY.md 将刚才创建的符号链接文件添加至该文件的目录结构中
2.png
  1. 执行命令 , 编译该书籍
gitbook serve
# 编译并在本地搭建 web 服务器 可以用来直接访问查看效果
3.png
  1. 访问发现确实读取到了本机的 /etc/passwd 文件
4.png
  1. 将本地仓库提交并 push 到 GitHub, 然后在 GitBook 中就可以看到读取到的目标服务器的文件了
5.png 6.png 7.png

POC :

https://wangyihang.gitbooks.io/awesome-web-security/content/vulnerabilities/passwd.html


白盒分析 :

https://github.com/GitbookIO/gitbook
下载代码, 定位到解析 SUMMARY.md 的函数

判断是否是一个文件 路径清洗函数 定义 MarkDown 文件的配置文件

在黑盒测试的时候就已经发现, 符号链接文件必须是 .md 才可以

image.png

这里是读取文件的函数 , 可以看到在读取之前并没有对文件是否是符号链接文件进行判断
这样也就造成了这个漏洞


修补方案 :

在编译时 , 判断文件是否是符号链接 , 如果是则跳过对该文件的编译

相关文章

网友评论

      本文标题:[CVE-2017-15688]GitBook 任意文件读取漏洞

      本文链接:https://www.haomeiwen.com/subject/tawbuxtx.html