Gogs RCE漏洞分析 (CVE-2022-0415) 教学文档<\/h1>

漏洞概述<\/h2>
CVE-2022-0415是Gogs（一个用Golang开发的Git Web服务）中的一个远程命令执行漏洞。该漏洞允许攻击者通过上传恶意配置文件到.git目录，利用Git的`core.sshCommand<\/code>特性实现命令注入和执行。<\/p>`

受影响版本<\/h2>

所有低于0.12.6的Gogs版本（不含0.12.6）<\/li>
<\/ul>
漏洞原理<\/h2>
Git相关知识<\/h3>
根据Git官方文档，core.sshCommand<\/code>配置项有以下特性：<\/p>

如果设置了sshCommand<\/code>变量，当需要连接到远程系统时，git fetch<\/code>和git push<\/code>将使用指定的命令而不是ssh<\/li>
该命令与GIT_SSH_COMMAND<\/code>环境变量的格式相同<\/li>
当设置环境变量时，该配置会被覆盖<\/li>
<\/ul>
漏洞利用流程<\/h3>

上传恶意配置文件<\/strong>：攻击者上传一个包含core.sshCommand<\/code>的恶意config文件<\/li>
覆盖.git\/config<\/strong>：通过控制tree_path<\/code>参数将文件写入.git目录<\/li>
触发命令执行<\/strong>：当Gogs执行git操作（如push）时，会执行注入的命令<\/li>
<\/ol>
环境搭建<\/h2>
准备步骤<\/h3>


克隆Gogs仓库并切换到v0.12.5版本：<\/p>
git clone https:\/\/github.com\/gogs\/gogs\/
<\/span><\/span>git checkout v0.12.5
<\/span><\/span><\/code><\/pre><\/li>

配置数据库：<\/p>
mysqld
<\/span><\/span>create database gogs;
<\/span><\/span><\/code><\/pre><\/li>

启动Gogs并进行初始配置<\/p>
<\/li>

创建测试账户和仓库<\/p>
<\/li>
<\/ol>
漏洞复现<\/h2>
第一步：上传恶意配置文件<\/h3>


创建一个名为config<\/code>的文件，内容如下：<\/p>
[core]
    repositoryformatversion = 0
    filemode = true
    bare = false
    logallrefupdates = true
    ignorecase = true
    precomposeunicode = true
    sshCommand = <恶意命令>
[remote "origin"]
    url = git@github.com:torvalds\/linux.git
    fetch = +refs\/heads\/*:refs\/remotes\/origin\/*
[branch "master"]
    remote = origin
    merge = refs\/heads\/master
<\/code><\/pre>
<\/li>

通过"上传文件"功能上传该文件<\/p>
<\/li>
<\/ol>
第二步：提交变更<\/h3>


修改请求中的tree_path<\/code>参数为.git<\/code><\/p>
POST<\/span> \/admin1\/repo1\/_upload\/master\/ HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> localhost:3002<\/span>
<\/span><\/span>...<\/span>
<\/span><\/span>_csrf=...&tree_path=.git&files=...&commit_summary=...
<\/span><\/span><\/code><\/pre><\/li>

提交请求，覆盖.git\/config文件<\/p>
<\/li>
<\/ol>
第三步：触发命令执行<\/h3>
当Gogs执行git push操作时，会执行core.sshCommand<\/code>中指定的命令<\/p>
漏洞分析<\/h2>
关键代码路径<\/h3>


文件上传处理<\/strong>：<\/p>

repo_editor.go<\/code>的UploadLocalPath<\/code>函数<\/li>
文件名参数未充分验证<\/li>
<\/ul>
<\/li>

文件写入处理<\/strong>：<\/p>

repo_editor.go<\/code>的UploadRepoFiles<\/code>函数<\/li>
tree_path<\/code>参数未检查是否包含.git<\/code><\/li>
<\/ul>
<\/li>

命令执行点<\/strong>：<\/p>

当执行git push<\/code>时，会读取.git\/config<\/code>中的core.sshCommand<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
关键问题<\/h3>

缺乏对tree_path<\/code>参数的检查，允许写入.git<\/code>目录<\/li>
未对上传的文件内容进行过滤，允许设置危险的Git配置<\/li>
<\/ol>
修复方案<\/h2>
官方在0.12.6版本中修复了此漏洞，主要修改包括：<\/p>


增加了对tree_path<\/code>参数的检查：<\/p>
\/\/ Prevent uploading files into the ".git" directory
<\/span><\/span><\/span><\/span>if<\/span> isRepositoryGitPath<\/span>(opts<\/span>.TreePath<\/span>) {
<\/span><\/span>    return<\/span> errors<\/span>.Errorf<\/span>("bad tree path %q"<\/span>, opts<\/span>.TreePath<\/span>)
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

检查函数isRepositoryGitPath<\/code>实现：<\/p>
func<\/span> isRepositoryGitPath<\/span>(path<\/span> string<\/span>) bool<\/span> {
<\/span><\/span>   return<\/span> strings<\/span>.HasSuffix<\/span>(path<\/span>, ".git"<\/span>) ||<\/span> 
<\/span><\/span>          strings<\/span>.Contains<\/span>(path<\/span>, ".git"<\/span>+<\/span>string(os<\/span>.PathSeparator<\/span>))
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
防御建议<\/h2>

及时升级到Gogs 0.12.6或更高版本<\/li>
对用户上传的文件进行严格的内容检查<\/li>
限制Git配置中的危险选项<\/li>
实施最小权限原则，限制Gogs进程的执行权限<\/li>
<\/ol>
总结<\/h2>
CVE-2022-0415漏洞利用了Gogs在文件上传和处理过程中的两个关键缺陷：<\/p>

允许用户控制文件写入位置（包括.git目录）<\/li>
未对Git配置文件中的危险选项进行过滤<\/li>
<\/ol>
通过精心构造的请求，攻击者可以注入并执行任意命令。该漏洞强调了在Web应用中处理文件上传和Git操作时需要特别注意安全性。<\/p>

Gogs RCE漏洞分析 (CVE-2022-0415) 教学文档<\/h1>

漏洞概述<\/h2> CVE-2022-0415是Gogs（一个用Golang开发的Git Web服务）中的一个远程命令执行漏洞。该漏洞允许攻击者通过上传恶意配置文件到.git目录，利用Git的core.sshCommand<\/code>特性实现命令注入和执行。<\/p>

漏洞原理<\/h2>

环境搭建<\/h2>

漏洞复现<\/h2>

第三步：触发命令执行<\/h3> 当Gogs执行git push操作时，会执行core.sshCommand<\/code>中指定的命令<\/p>

漏洞概述<\/h2>
CVE-2022-0415是Gogs（一个用Golang开发的Git Web服务）中的一个远程命令执行漏洞。该漏洞允许攻击者通过上传恶意配置文件到.git目录，利用Git的`core.sshCommand<\/code>特性实现命令注入和执行。<\/p>`

第三步：触发命令执行<\/h3>
当Gogs执行git push操作时，会执行`core.sshCommand<\/code>中指定的命令<\/p>`