Gogs 0.13.0 SSH 参数注入漏洞(CVE-2024-39930)分析与利用<\/h1>

漏洞概述<\/h2>
Gogs(Go Git Service)是一个基于Go语言的自助Git托管服务。在0.13.0版本中，其内置SSH服务器存在参数注入漏洞，允许攻击者通过精心构造的环境变量实现远程代码执行(RCE)。<\/p>

漏洞背景<\/h2>

受影响组件<\/h3>

软件<\/strong>: Gogs<\/li>
版本<\/strong>: 0.13.0<\/li>

组件<\/strong>: internal\/ssh\/ssh.go<\/code>中的SSH请求处理代码<\/li> <\/ul> 漏洞原理<\/h3> 漏洞源于Gogs在处理SSH连接中的env<\/code>请求时，未对传入的环境变量进行充分验证，导致攻击者可以通过环境变量注入env<\/code>命令的参数，最终实现任意命令执行。<\/p> 技术细节分析<\/h2> SSH协议中的env请求<\/h3> SSH协议允许客户端在"打开通道之后，执行命令之前"通过env<\/code>请求向服务器发送环境变量设置。当使用ssh<\/code>命令连接时，可以通过SendEnv<\/code>指令指定要发送的环境变量。<\/p> 漏洞代码分析<\/h3> 关键漏洞代码位于internal\/ssh\/ssh.go<\/code>中：<\/p> com<\/span>.ExecCmd<\/span>("env"<\/span>, fmt<\/span>.Sprintf<\/span>("%s=%s"<\/span>, env<\/span>.Name<\/span>, env<\/span>.Value<\/span>)) <\/span><\/span><\/code><\/pre>这段代码将环境变量名和值通过fmt.Sprintf<\/code>拼接到env<\/code>命令后面，然后通过com.ExecCmd()<\/code>执行。<\/p> 漏洞利用关键点<\/h3> env命令的-S参数<\/strong>：env<\/code>命令有一个-S, --split-string=S<\/code>参数，可以将带空格的字符串拆分为命令及其参数来执行<\/p> 例如：env --split-string="cat \/etc\/passwd"<\/code>实际执行的是cat \/etc\/passwd<\/code><\/li> <\/ul> <\/li> 参数注入<\/strong>：如果构造一个名为--split-string=<command><\/code>的环境变量，拼接后执行的命令将变为：<\/p> env --split-string=<\/span><command> <\/span><\/span><\/code><\/pre>这将导致<command><\/code>被执行<\/p> <\/li> 环境变量命名限制<\/strong>：Linux中环境变量名不能包含特殊字符如-<\/code>，这是利用的主要障碍<\/p> <\/li> <\/ol> 漏洞复现步骤<\/h2> 环境准备<\/h3> 系统要求<\/strong>：<\/p> Go版本: 1.22.5<\/li> Gogs版本: 0.13.0<\/li> PostgreSQL数据库(默认创建postgres用户)<\/li> <\/ul> <\/li> Gogs安装<\/strong>：<\/p> 安装并配置Gogs<\/li> 确保SSH服务开启<\/li> 修改internal\/ssh\/ssh.go<\/code>添加日志打印<\/li> 修改custom\/conf\/app.ini<\/code>将日志级别设置为Trace<\/code><\/li> <\/ul> <\/li> <\/ol> 攻击步骤<\/h3> 设置恶意环境变量<\/strong>：<\/p> 使用Go代码设置包含-<\/code>的环境变量： os<\/span>.Setenv<\/span>("--split-string"<\/span>, "cat \/etc\/passwd"<\/span>) <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 修改SSH配置<\/strong>：<\/p> 修改攻击者本机的\/etc\/ssh\/ssh_config<\/code>中SendEnv<\/code>的值，允许发送该环境变量<\/li> <\/ul> <\/li> 触发漏洞<\/strong>：<\/p> 注册Gogs用户并添加SSH公钥<\/li> 新建一个仓库<\/li> 通过SSH执行git clone<\/code>操作<\/li> <\/ul> <\/li> 查看结果<\/strong>：<\/p> 在Gogs日志中可以看到payload成功传入<\/li> 修改源码打印命令执行结果后，可以看到cat \/etc\/passwd<\/code>的输出<\/li> <\/ul> <\/li> <\/ol> 漏洞利用限制与绕过<\/h2> 主要限制<\/h3> Linux环境变量命名规则限制：不能包含-<\/code>等特殊字符<\/li> <\/ul> 绕过方法<\/h3> 使用编程语言设置环境变量<\/strong>：<\/p> 通过Go的os.Setenv()<\/code>可以设置包含-<\/code>的环境变量<\/li> C语言的setenv()<\/code>函数在此场景下测试不成功<\/li> <\/ul> <\/li> 利用SSH配置<\/strong>：<\/p> 修改SendEnv<\/code>配置允许发送非常规环境变量名<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 升级版本<\/strong>：升级到Gogs修复版本<\/li> 输入验证<\/strong>：严格验证SSH连接中传入的环境变量名<\/li> 禁止环境变量名包含特殊字符<\/li> <\/ul> <\/li> 命令执行安全<\/strong>：避免直接拼接命令参数<\/li> 使用白名单限制可执行命令<\/li> <\/ul> <\/li> 日志监控<\/strong>：监控异常的环境变量设置请求<\/li> <\/ol> 总结<\/h2> CVE-2024-39930漏洞展示了参数注入如何导致严重的远程代码执行问题。通过精心构造的环境变量名，攻击者可以绕过常规限制，注入恶意命令参数。这提醒开发者在处理外部输入时，必须进行严格的验证和过滤，特别是当这些输入最终会用于系统命令执行时。<\/p>

Gogs 0.13.0 SSH 参数注入漏洞(CVE-2024-39930)分析与利用<\/h1>

漏洞概述<\/h2>
Gogs(Go Git Service)是一个基于Go语言的自助Git托管服务。在0.13.0版本中，其内置SSH服务器存在参数注入漏洞，允许攻击者通过精心构造的环境变量实现远程代码执行(RCE)。<\/p>

漏洞背景<\/h2>

漏洞原理<\/h3>
漏洞源于Gogs在处理SSH连接中的`env<\/code>请求时，未对传入的环境变量进行充分验证，导致攻击者可以通过环境变量注入env<\/code>命令的参数，最终实现任意命令执行。<\/p>`

SSH协议中的env请求<\/h3>
SSH协议允许客户端在"打开通道之后，执行命令之前"通过`env<\/code>请求向服务器发送环境变量设置。当使用ssh<\/code>命令连接时，可以通过SendEnv<\/code>指令指定要发送的环境变量。<\/p>`

漏洞利用限制与绕过<\/h2>

Gogs 0.13.0 SSH 参数注入漏洞(CVE-2024-39930)分析与利用<\/h1>

漏洞概述<\/h2> Gogs(Go Git Service)是一个基于Go语言的自助Git托管服务。在0.13.0版本中，其内置SSH服务器存在参数注入漏洞，允许攻击者通过精心构造的环境变量实现远程代码执行(RCE)。<\/p>

漏洞背景<\/h2>

漏洞原理<\/h3> 漏洞源于Gogs在处理SSH连接中的env<\/code>请求时，未对传入的环境变量进行充分验证，导致攻击者可以通过环境变量注入env<\/code>命令的参数，最终实现任意命令执行。<\/p>

SSH协议中的env请求<\/h3> SSH协议允许客户端在"打开通道之后，执行命令之前"通过env<\/code>请求向服务器发送环境变量设置。当使用ssh<\/code>命令连接时，可以通过SendEnv<\/code>指令指定要发送的环境变量。<\/p>

漏洞利用限制与绕过<\/h2>

漏洞概述<\/h2>
Gogs(Go Git Service)是一个基于Go语言的自助Git托管服务。在0.13.0版本中，其内置SSH服务器存在参数注入漏洞，允许攻击者通过精心构造的环境变量实现远程代码执行(RCE)。<\/p>

漏洞原理<\/h3>
漏洞源于Gogs在处理SSH连接中的`env<\/code>请求时，未对传入的环境变量进行充分验证，导致攻击者可以通过环境变量注入env<\/code>命令的参数，最终实现任意命令执行。<\/p>`

SSH协议中的env请求<\/h3>
SSH协议允许客户端在"打开通道之后，执行命令之前"通过`env<\/code>请求向服务器发送环境变量设置。当使用ssh<\/code>命令连接时，可以通过SendEnv<\/code>指令指定要发送的环境变量。<\/p>`