红队攻防 | 利用GitLab nday实现帐户接管

news2024/11/16 4:26:31

在一次红队任务中,目标是一家提供VoIP服务的公司。该目标拥有一些重要的客户,如政府组织,银行和电信提供商。该公司要求外部参与,资产测试范围几乎是公司拥有的每一项互联网资产。

第一天是对目标进行信息收集。这一次,攻击面并没有那么大,挖掘每一个资产的时间到了。发现的最有趣的资产是:

  • target.com

  • admin.target.com

  • api.target.com

  • staging.target.com

  • cl.target.com(客户登录)

  • git.target.com

我没有账户来作为客户或员工登录,所以我让我的fuzz工具在后台运行对大多数地址进行扫描,而我转向检查git子域。

图片

GitLab黑客图片来源:Gridinsoft.com

GitLab枚举

git.target.com展示了一个正常的GitLab CE登录页面:

图片

登录页面

我看过去第一眼便是页面底部的 现在注册 功能。我可以尝试创建自己的帐户,也许可以访问经过身份验证的用户的项目。在我以前参与的一些项目中,在点击注册链接后,响应结果为403,拒绝访问或错误页面的响应。但这次我可以访问注册页面:

图片

GitLab注册页面

虽然我可以成功注册到GitLab服务器,但我没有收到任何激活账户电子邮件,该帐户正在等待GitLab管理员的审核批准。

图片

待审核帐户

我们都听说过GitLab发布的CVE,现在是时候检查其中一个是否与此相关。

最新的CVE之一是Account TakeOver(CVE-2023-7028)。此CVE的易受攻击的GitLab版本是:

  • 16.1-16.1.5

  • 16.2-16.2.8

  • 16.3-16.3.6

  • 16.4-16.4.4

  • 16.5-16.5.5

  • 16.6-16.6.3

  • 16.7-16.7.1

回到登录页面,我通过查看页面源代码的版本ID来检查GitLab的版本。

图片

GitLab版本ID

将版本ID带到GitLab FOSS:https://gitlab.com/gitlab-org/gitlab-foss并搜索它,结果如下:

图片

其中披露了对应的GitLab的版本:

图片

GitLab版本来自GitLab FOSS

现在我们知道我们面对的是GitLab 16.2.1,它在易受攻击的版本列表中!

深入了解CVE-2023-7028

根据漏洞描述,通过触发“重置密码”功能,结合两个电子邮件地址(一个用于有效的GitLab用户,另一个则是攻击者的电子邮件地址),利用漏洞。

易受攻击的代码段位于spec/controllers/password_controller_spec. rb中。该代码预期POST请求包含一个电子邮件地址作为参数,但没有验证列表中是否有多个电子邮件地址。

图片

脆弱的GitLab代码

该漏洞会导致GitLab服务器向两个电子邮件地址发送带有重置令牌的电子邮件,并在攻击者单击其邮箱中的链接时进行帐户接管。

攻击者需要向/users/password接口构造以下POST请求:

  • 有效的GitLab帐户电子邮件地址(如user@target.com)

  • 攻击者的电子邮件地址

  • 用于CSRF保护的authenticity_token

最终请求如下:

图片

POST请求帐户接管

所以现在,我们有一个易受攻击的GitLab服务器,我们可能会用它来接管一个研发人员的帐户,我们只需要有一个员工的电子邮件地址列表

收集电子邮件

有很多方法可以获得公司的有效电子邮件地址,特别是如果它们在公司的域中。

首先,让我们看看目标的MX记录:

图片

目标的MX记录

现在我们知道目标正在使用自己的域地址发送电子邮件,让我们使用theHarvester来解决这个问题。

图片

使用theHarvester收集电子邮件地址

theHarvester只找到了6个结果,我不能确定其中的账户与GitLab服务器相关。所以我使用了其他来源(需要帐户):

  • hunter.io:https://hunter.io/

  • intelx.io:https://intelx.io/

  • viewDNS.info:https://viewdns.info/

  • grep.app:https://grep.app/(在GitHub仓库中搜索目标的电子邮件)

最后我得到了80多个员工的电子邮件地址

利用漏洞实现帐户接管

我们有很多电子邮件地址要尝试,每个请求也需要发出CSRF令牌,所以无法使用Burp Intruder。我们需要一个自定义脚本。

幸运的是,GitHub中有一些很好的脚本来处理这个漏洞:https://github.com/Vozec/CVE-2023-7028/tree/main。我现在需要做的就是在代码中添加一个for循环,该循环使用提供的文本文件中的所有电子邮件地址。我还在每个循环之间加入了两分钟的sleep时间,如果我得到了一个重置的电子邮件,脚本继将续接管一个以上的有效帐户。

接着我收到了电子邮件!

图片

重置密码电子邮件

我点击链接,立即得到重置密码页面:

图片

GitLab的重置密码页面

提交新密码,然后转到登录页面:

图片

更改用户密码后的登录页面

就这样,我们进去了!

登录到服务器后,我能够访问公司的所有项目,没有任何权限问题。我下载了公司的所有代码,并使用TruffleHog:https://github.com/trufflesecurity/trufflehog、提取了API密钥和硬编码凭证,从而继续参与。

从GitLab服务器提取的凭证对于访问公司的其他资产非常有用,特别是API和客户端子域。我能够使用所有公司的API与高权限,并为自己在客户端面板生成管理员用户。

最后,目标Pwned:)

无偿获取网络安全优质学习资料与干货教程

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2108749.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

结构开发笔记(七):solidworks软件(六):装配摄像头、摄像头座以及螺丝,完成摄像头结构示意图

若该文为原创文章,转载请注明原文出处 本文章博客地址:https://hpzwl.blog.csdn.net/article/details/141931518 长沙红胖子Qt(长沙创微智科)博文大全:开发技术集合(包含Qt实用技术、树莓派、三维、OpenCV…

成功之路:如何获得机器学习和数据科学实习机会

一年内获得两份实习机会的数据科学家的建议和技巧 欢迎来到雲闪世界。在当今竞争激烈的就业市场中,获得数据科学实习机会可以成为您在科技领域取得成功的门票。 但申请者如此之多,你该如何脱颖而出呢? 无论您是学生、应届毕业生还是想要转行…

IDEA2024.2最新工具下载

​软件使用 1、解压缩包 2、打开如图第三个 3、运行过十来秒等待提示以下信息即可

Ubuntu 无法全局安装 node 包

Anchor: $: cat /etc/lsb* DISTRIB_IDUbuntu DISTRIB_RELEASE22.04 DISTRIB_CODENAMEjammy DISTRIB_DESCRIPTION"Ubuntu 22.04.4 LTS" $: node -v v20.17.0 $: npm -v 10.8.2Question: $: npm install -g docsify-cli结果:超时或者如下图 Answer: 有…

【Python 千题 —— 算法篇】字符串替换

Python 千题持续更新中 …… 脑图地址 👉:⭐https://twilight-fanyi.gitee.io/mind-map/Python千题.html⭐ 题目背景 在日常编程中,我们经常会遇到需要对字符串中的特定字符或子串进行替换的需求。比如,替换文本中的敏感词汇、…

html初体验标准标签

<!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>Document</title> </head> <body><input type"text"> </body> </html> 内容展示

C和Java实现杨辉三角

C: #include <stdio.h> #define N 15 int main() {int arr[N][N] { 0 }; //初始化int i 0;//行数int j 0;//列数for (i 0; i < N; i){arr[i][0] 1; //每行首元素是 1for (j 0; j < i; j)//为啥j<i呢&#xff1f;因为每一行的个数&#xff08;每一列多少个…

爵士编曲:如何编写爵士钢琴

排列&#xff08;Voicing&#xff09; 由于爵士和声组成音较为复杂&#xff0c;故此衍声排列内容 密集排列&#xff1a;直接堆一起或者左手低音右手和弦音 。 开放排列&#xff1a;各个声部大于等于纯四度&#xff0c;小于八度&#xff0c;符合两只手能弹的情况 混合排列&a…

Python | Leetcode Python题解之第388题文件的最长绝对路径

题目&#xff1a; 题解&#xff1a; class Solution:def lengthLongestPath(self, input: str) -> int:ans, i, n 0, 0, len(input)level [0] * (n 1)while i < n:# 检测当前文件的深度depth 1while i < n and input[i] \t:depth 1i 1# 统计当前文件名的长度l…

深入CSS 布局——WEB开发系列29

CSS 页面布局技术允许我们拾取网页中的元素&#xff0c;并且控制它们相对正常布局流、周边元素、父容器或者主视口/窗口的位置。 一、正常布局流&#xff08;Normal Flow&#xff09; CSS的布局基础是“正常流”&#xff0c;也就是页面元素在没有特别指定布局方式时的默认排列…

文件操作详解:fgetc,fputc,fgets,fputs,fscanf,,fprintf,fread,fwrite的使用和例子 C语言

前言 在日常应用中&#xff0c;我们为了持续的使用一些数据&#xff0c;为了让数据可以在程序退出后可以保存并正常使用&#xff0c;引入了文件的概念和操作。本文分享了一些常用的文件操作函数的使用方法和各自的区别。 一、常用文件顺序读写函数 下面例程所使用的VS工程代码…

【全网最全】《2024高教社杯/国赛》 C题 思路+代码+文献 蒙特卡洛+遗传算法 第一问 农作物的种植策略

​ 领取压缩包 问题 1&#xff1a;建模思路与方法 问题描述 我们需要为某乡村在 2024-2030 年间制定最优的农作物种植方案。考虑的因素包括农作物的销售量、种植成本、亩产量、销售价格、以及不同土地的适宜种植条件等。该问题分为两种情况&#xff1a;(1) 超过部分滞销&#…

【redis】本地windows五分钟快速安装redis

用处&#xff1a;本地自测&#xff0c;有时候公司redis环境不稳定&#xff0c;用自己的 1.下载&#xff0c;github下载一个解压缩在自己想要的位置 选择版本&#xff1a;Redis-7.4.0-Windows-x64-msys2-with-Service&#xff0c;zip GitHub - redis-windows/redis-windows: …

django学习入门系列之第十点《案例 用户管理》

文章目录 展示用户列表添加用户删除用户url中&#xff1f;的作用 往期回顾 展示用户列表 方向 展示用户列表 url函数 获取用户所有的信息基于HTML给他个渲染 views.py from django.shortcuts import render, HttpResponse, redirect# Create your views here.from app01.…

c++162 类的封装和访问

怎么样管理类管理对象 类如何定义对象 #include<iostream> using namespace std;//求圆的面积 class MyCirecle { public:double m_r;//属性 成员变量double m_s; public :double getR(){return m_r;}void setR(double r)//成员函数{m_r r;}double getS(){m_s 3.14…

CMU 10423 Generative AI:lec2

文章目录 1 概述2 部分摘录2.1 噪声信道模型&#xff08;Noisy Channel Models&#xff09;主要内容&#xff1a;公式解释&#xff1a;应用举例&#xff1a; 2.2 n-Gram模型1. 什么是n-Gram模型2. 早期的n-Gram模型3. Google n-Gram项目4. 模型规模与训练数据5. n-Gram模型的局…

EmguCV学习笔记 VB.Net 10.1 人脸检测 CascadeClassifier类

版权声明&#xff1a;本文为博主原创文章&#xff0c;转载请在显著位置标明本文出处以及作者网名&#xff0c;未经作者允许不得用于商业目的。 EmguCV是一个基于OpenCV的开源免费的跨平台计算机视觉库,它向C#和VB.NET开发者提供了OpenCV库的大部分功能。 教程VB.net版本请访问…

视觉语言模型(VLMs)知多少?

最近这几年&#xff0c;自然语言处理和计算机视觉这两大领域真是突飞猛进&#xff0c;让机器不仅能看懂文字&#xff0c;还能理解图片。这两个领域的结合&#xff0c;催生了视觉语言模型&#xff0c;也就是Vision language models (VLMs) &#xff0c;它们能同时处理视觉信息和…

单片机原理

一、单片机基础知识 1.单片机概念 将通用微型计算机基本功能部件集成在一块芯片上构成的一种专用微计算机系统&#xff08;嵌入式系统&#xff09;&#xff0c;用于解决小型被控对象的智能化问题&#xff08;SCM或MCU&#xff09;。 2.单片机组成 3.单片机命名规则 后缀 后缀…

ChatGPT付费创作系统V3.0.6独立版 WEB+H5+小程序端 (新增AI全网搜索+文档解析+豆包AI通道)安装部署教程

播播资源GPT付费体验系统最新版系统是一款基于ThinkPHP框架开发的AI问答小程序&#xff0c;是基于国外很火的ChatGPT进行开发的Ai智能问答小程序。这是一种基于人工智能技术的问答系统&#xff0c;可以实现智能回答用户提出的问题。相比传统的问答系统&#xff0c;ChatGPT可以更…