红队攻防 | 利用GitLab nday实现帐户接管

2024-09-05 13:28

本文主要是介绍红队攻防 | 利用GitLab nday实现帐户接管,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在一次红队任务中,目标是一家提供VoIP服务的公司。该目标拥有一些重要的客户,如政府组织,银行和电信提供商。该公司要求外部参与,资产测试范围几乎是公司拥有的每一项互联网资产。

第一天是对目标进行信息收集。这一次,攻击面并没有那么大,挖掘每一个资产的时间到了。发现的最有趣的资产是:

  • target.com

  • admin.target.com

  • api.target.com

  • staging.target.com

  • cl.target.com(客户登录)

  • git.target.com

我没有账户来作为客户或员工登录,所以我让我的fuzz工具在后台运行对大多数地址进行扫描,而我转向检查git子域。

图片

GitLab黑客图片来源:Gridinsoft.com

GitLab枚举

git.target.com展示了一个正常的GitLab CE登录页面:

图片

登录页面

我看过去第一眼便是页面底部的 现在注册 功能。我可以尝试创建自己的帐户,也许可以访问经过身份验证的用户的项目。在我以前参与的一些项目中,在点击注册链接后,响应结果为403,拒绝访问或错误页面的响应。但这次我可以访问注册页面:

图片

GitLab注册页面

虽然我可以成功注册到GitLab服务器,但我没有收到任何激活账户电子邮件,该帐户正在等待GitLab管理员的审核批准。

图片

待审核帐户

我们都听说过GitLab发布的CVE,现在是时候检查其中一个是否与此相关。

最新的CVE之一是Account TakeOver(CVE-2023-7028)。此CVE的易受攻击的GitLab版本是:

  • 16.1-16.1.5

  • 16.2-16.2.8

  • 16.3-16.3.6

  • 16.4-16.4.4

  • 16.5-16.5.5

  • 16.6-16.6.3

  • 16.7-16.7.1

回到登录页面,我通过查看页面源代码的版本ID来检查GitLab的版本。

图片

GitLab版本ID

将版本ID带到GitLab FOSS:https://gitlab.com/gitlab-org/gitlab-foss并搜索它,结果如下:

图片

其中披露了对应的GitLab的版本:

图片

GitLab版本来自GitLab FOSS

现在我们知道我们面对的是GitLab 16.2.1,它在易受攻击的版本列表中!

深入了解CVE-2023-7028

根据漏洞描述,通过触发“重置密码”功能,结合两个电子邮件地址(一个用于有效的GitLab用户,另一个则是攻击者的电子邮件地址),利用漏洞。

易受攻击的代码段位于spec/controllers/password_controller_spec. rb中。该代码预期POST请求包含一个电子邮件地址作为参数,但没有验证列表中是否有多个电子邮件地址。

图片

脆弱的GitLab代码

该漏洞会导致GitLab服务器向两个电子邮件地址发送带有重置令牌的电子邮件,并在攻击者单击其邮箱中的链接时进行帐户接管。

攻击者需要向/users/password接口构造以下POST请求:

  • 有效的GitLab帐户电子邮件地址(如user@target.com)

  • 攻击者的电子邮件地址

  • 用于CSRF保护的authenticity_token

最终请求如下:

图片

POST请求帐户接管

所以现在,我们有一个易受攻击的GitLab服务器,我们可能会用它来接管一个研发人员的帐户,我们只需要有一个员工的电子邮件地址列表

收集电子邮件

有很多方法可以获得公司的有效电子邮件地址,特别是如果它们在公司的域中。

首先,让我们看看目标的MX记录:

图片

目标的MX记录

现在我们知道目标正在使用自己的域地址发送电子邮件,让我们使用theHarvester来解决这个问题。

图片

使用theHarvester收集电子邮件地址

theHarvester只找到了6个结果,我不能确定其中的账户与GitLab服务器相关。所以我使用了其他来源(需要帐户):

  • hunter.io:https://hunter.io/

  • intelx.io:https://intelx.io/

  • viewDNS.info:https://viewdns.info/

  • grep.app:https://grep.app/(在GitHub仓库中搜索目标的电子邮件)

最后我得到了80多个员工的电子邮件地址

利用漏洞实现帐户接管

我们有很多电子邮件地址要尝试,每个请求也需要发出CSRF令牌,所以无法使用Burp Intruder。我们需要一个自定义脚本。

幸运的是,GitHub中有一些很好的脚本来处理这个漏洞:https://github.com/Vozec/CVE-2023-7028/tree/main。我现在需要做的就是在代码中添加一个for循环,该循环使用提供的文本文件中的所有电子邮件地址。我还在每个循环之间加入了两分钟的sleep时间,如果我得到了一个重置的电子邮件,脚本继将续接管一个以上的有效帐户。

接着我收到了电子邮件!

图片

重置密码电子邮件

我点击链接,立即得到重置密码页面:

图片

GitLab的重置密码页面

提交新密码,然后转到登录页面:

图片

更改用户密码后的登录页面

就这样,我们进去了!

登录到服务器后,我能够访问公司的所有项目,没有任何权限问题。我下载了公司的所有代码,并使用TruffleHog:https://github.com/trufflesecurity/trufflehog、提取了API密钥和硬编码凭证,从而继续参与。

从GitLab服务器提取的凭证对于访问公司的其他资产非常有用,特别是API和客户端子域。我能够使用所有公司的API与高权限,并为自己在客户端面板生成管理员用户。

最后,目标Pwned:)

无偿获取网络安全优质学习资料与干货教程

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

这篇关于红队攻防 | 利用GitLab nday实现帐户接管的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1139087

相关文章

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

工厂ERP管理系统实现源码(JAVA)

工厂进销存管理系统是一个集采购管理、仓库管理、生产管理和销售管理于一体的综合解决方案。该系统旨在帮助企业优化流程、提高效率、降低成本,并实时掌握各环节的运营状况。 在采购管理方面,系统能够处理采购订单、供应商管理和采购入库等流程,确保采购过程的透明和高效。仓库管理方面,实现库存的精准管理,包括入库、出库、盘点等操作,确保库存数据的准确性和实时性。 生产管理模块则涵盖了生产计划制定、物料需求计划、

C++——stack、queue的实现及deque的介绍

目录 1.stack与queue的实现 1.1stack的实现  1.2 queue的实现 2.重温vector、list、stack、queue的介绍 2.1 STL标准库中stack和queue的底层结构  3.deque的简单介绍 3.1为什么选择deque作为stack和queue的底层默认容器  3.2 STL中对stack与queue的模拟实现 ①stack模拟实现

基于51单片机的自动转向修复系统的设计与实现

文章目录 前言资料获取设计介绍功能介绍设计清单具体实现截图参考文献设计获取 前言 💗博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师,一名热衷于单片机技术探索与分享的博主、专注于 精通51/STM32/MSP430/AVR等单片机设计 主要对象是咱们电子相关专业的大学生,希望您们都共创辉煌!✌💗 👇🏻 精彩专栏 推荐订阅👇🏻 单片机