GitHub企业版RCE漏洞分析与利用教学<\/h1>

漏洞概述<\/h2>
GitHub企业版(GHE)在版本<2.21.4中存在一个远程代码执行漏洞，允许攻击者通过精心构造的Git命令参数注入，实现任意文件写入和潜在的远程代码执行。该漏洞由re9si7st9在2020年发现并报告给GitHub安全团队。<\/p>

受影响版本<\/h2>

GitHub Enterprise < 2.21.4<\/li>

修复版本：GitHub Enterprise 2.21.4<\/li> <\/ul>

漏洞背景<\/h2>

历史漏洞参考<\/h3>
2019年8月13日发布的GitHub Enterprise 2.17.6修复了一个类似漏洞，攻击者可以使用以"-"字符开头的"分支名称"向git命令注入选项，允许截断服务器上的文件。<\/p>

漏洞发现过程<\/h2>

代码审计方法<\/h3>

搜索git进程被调用的所有位置<\/li>
追溯参数来源，检查是否用户可控<\/li>

验证参数是否已正确清理(sanitised)<\/li> <\/ol>

关键发现点<\/h3>
发现`reverse_diff<\/code>方法进行了2次提交(commits)，最终与它们一起运行git diff-tree<\/code>，唯一的检查是对于存储库(sha,branch,tag等)都存在有效的git引用(git references)。<\/p>`

漏洞原理<\/h2>
核心问题<\/h3>
reverse_diff<\/code>方法调用git diff-tree<\/code>时，未充分验证用户提供的参数，允许注入git命令选项。<\/p>
调用链<\/h3>

revert_range<\/code>方法调用reverse_diff<\/code><\/li>
reverse_diff<\/code>执行git diff-tree -p -R commit1 commit2 -- Home.md<\/code><\/li>
用户可控制commit1和commit2参数<\/li>
<\/ol>
漏洞利用条件<\/h2>

需要有效的CSRF token<\/li>
需要对目标仓库有写入权限<\/li>
需要能够创建特殊命名的分支<\/li>
<\/ol>
漏洞利用步骤<\/h2>
1. 创建恶意分支<\/h3>
git push origin master:--output=<\/span>\/tmp\/ggg
<\/span><\/span><\/code><\/pre>2. 构造恶意请求<\/h3>
发送POST请求到：<\/p>
\/user\/repo\/wiki\/Home\/_revert\/HEAD\/--output%3D%2Ftmp%2Fggg
<\/code><\/pre>
3. 利用CSRF漏洞<\/h3>
需要绕过CSRF保护，方法包括：<\/p>

获取全局CSRF token<\/li>
利用rails的valid_authenticity_token?<\/code>方法特性<\/li>
<\/ul>
4. 文件写入<\/h3>
利用git diff-tree<\/code>的--output<\/code>选项将diff输出写入任意文件：<\/p>
git diff-tree -p -R HEAD --output=\/tmp\/ggg -- Home.md
<\/code><\/pre>
5. 代码执行<\/h3>
写入到可被bash脚本引用的位置，如\/data\/github\/shared\/env.d\/<\/code>目录：<\/p>

创建包含恶意代码的wiki页面<\/li>
编辑wiki页面添加新内容<\/li>
推送特殊命名的分支<\/li>
触发revert操作写入env.d目录<\/li>
等待服务重启或相关命令执行<\/li>
<\/ol>
技术细节<\/h2>
CSRF绕过分析<\/h3>
Rails的valid_authenticity_token?<\/code>方法逻辑：<\/p>
def<\/span> valid_authenticity_token?<\/span>(session, encoded_masked_token)
<\/span><\/span>  # 处理未编码的token<\/span>
<\/span><\/span>  if<\/span> masked_token.<\/span>length ==<\/span> AUTHENTICITY_TOKEN_LENGTH<\/span>
<\/span><\/span>    compare_with_real_token(masked_token, session)
<\/span><\/span>  # 处理编码的token<\/span>
<\/span><\/span>  elsif<\/span> masked_token.<\/span>length ==<\/span> AUTHENTICITY_TOKEN_LENGTH<\/span> *<\/span> 2<\/span>
<\/span><\/span>    csrf_token =<\/span> unmask_token(masked_token)
<\/span><\/span>    compare_with_real_token(csrf_token, session) ||<\/span> valid_per_form_csrf_token?(csrf_token, session)
<\/span><\/span>  else<\/span>
<\/span><\/span>    false<\/span>
<\/span><\/span>  end<\/span>
<\/span><\/span>end<\/span>
<\/span><\/span><\/code><\/pre>文件写入位置<\/h3>
推荐的可写目录：<\/p>

\/data\/github\/shared\/env.d\/<\/code><\/li>
\/data\/failbotd\/shared\/env.d\/<\/code><\/li>
<\/ul>
有效载荷构造<\/h3>
示例恶意wiki内容：<\/p>
; echo vakzz was here > \/tmp\/ggg
<\/code><\/pre>
漏洞修复<\/h2>
GitHub Enterprise 2.21.4修复措施：<\/p>

加强git命令参数验证<\/li>
确保所有用户输入参数都经过严格过滤<\/li>
改进CSRF保护机制<\/li>
<\/ol>
漏洞影响评估<\/h2>
严重性<\/strong>：高危<\/p>
影响<\/strong>：<\/p>

任意文件写入<\/li>
潜在的远程代码执行<\/li>
需要一定权限才能利用<\/li>
<\/ul>
防御建议<\/h2>

立即升级到GitHub Enterprise 2.21.4或更高版本<\/li>
实施严格的输入验证<\/li>
限制用户创建特殊命名分支的能力<\/li>
加强CSRF保护机制<\/li>
<\/ol>
时间线<\/h2>

2020年7月25日：漏洞报告<\/li>
2020年7月25日：GitHub确认漏洞<\/li>
2020年8月11日：GitHub发布修复版本<\/li>
<\/ul>
总结<\/h2>
该漏洞展示了即使像GitHub这样成熟的产品也可能存在命令注入风险。关键在于：<\/p>

对用户输入进行严格验证<\/li>
安全地构造系统命令<\/li>
实施多层防御机制<\/li>
及时更新安全补丁<\/li>
<\/ol>
开发人员和安全团队应从该案例中学习如何更好地保护Web应用程序免受类似攻击。<\/p>

GitHub企业版RCE漏洞分析与利用教学<\/h1>

漏洞概述<\/h2> GitHub企业版(GHE)在版本<2.21.4中存在一个远程代码执行漏洞，允许攻击者通过精心构造的Git命令参数注入，实现任意文件写入和潜在的远程代码执行。该漏洞由re9si7st9在2020年发现并报告给GitHub安全团队。<\/p>

漏洞背景<\/h2>

历史漏洞参考<\/h3> 2019年8月13日发布的GitHub Enterprise 2.17.6修复了一个类似漏洞，攻击者可以使用以"-"字符开头的"分支名称"向git命令注入选项，允许截断服务器上的文件。<\/p>

漏洞发现过程<\/h2>

关键发现点<\/h3> 发现reverse_diff<\/code>方法进行了2次提交(commits)，最终与它们一起运行git diff-tree<\/code>，唯一的检查是对于存储库(sha,branch,tag等)都存在有效的git引用(git references)。<\/p>

核心问题<\/h3> reverse_diff<\/code>方法调用git diff-tree<\/code>时，未充分验证用户提供的参数，允许注入git命令选项。<\/p>

漏洞利用步骤<\/h2>

技术细节<\/h2>

漏洞概述<\/h2>
GitHub企业版(GHE)在版本<2.21.4中存在一个远程代码执行漏洞，允许攻击者通过精心构造的Git命令参数注入，实现任意文件写入和潜在的远程代码执行。该漏洞由re9si7st9在2020年发现并报告给GitHub安全团队。<\/p>

历史漏洞参考<\/h3>
2019年8月13日发布的GitHub Enterprise 2.17.6修复了一个类似漏洞，攻击者可以使用以"-"字符开头的"分支名称"向git命令注入选项，允许截断服务器上的文件。<\/p>

关键发现点<\/h3>
发现`reverse_diff<\/code>方法进行了2次提交(commits)，最终与它们一起运行git diff-tree<\/code>，唯一的检查是对于存储库(sha,branch,tag等)都存在有效的git引用(git references)。<\/p>`

核心问题<\/h3>
`reverse_diff<\/code>方法调用git diff-tree<\/code>时，未充分验证用户提供的参数，允许注入git命令选项。<\/p>`