gitlab-用戶越權(quán)回復(fù)漏洞報(bào)告

gitlab-用戶越權(quán)回復(fù)漏洞報(bào)告 聲明:文章中涉及的程序(方法)可能帶有攻擊性,僅供安全研究與教學(xué)之用,讀者將其信息做其他用途,由用戶承擔(dān)全部法律及連帶責(zé)任,文章作者不承擔(dān)任何法律及連帶責(zé)任。

背景
漏洞是wi11小哥于2021年四月份提交的,主要是:當(dāng)Security & Compliance的可見(jiàn)性設(shè)置為僅限項(xiàng)目成員時(shí),任何人在獲得discussion_id后仍然可以對(duì)漏洞報(bào)告的討論發(fā)表評(píng)論。

復(fù)現(xiàn)步驟
需要兩個(gè)賬戶才能復(fù)現(xiàn); 1.作為受害者,你需要有一個(gè)漏洞報(bào)告,如果你有一個(gè),請(qǐng)?zhí)D(zhuǎn)至步驟2。如果沒(méi)有,請(qǐng)看如下操作: 創(chuàng)建一個(gè)項(xiàng)目->轉(zhuǎn)至安全與合規(guī)->配置->啟用(SAST) ->上傳一個(gè)php文件,其中包含代碼<?php eval ($ _POST [' 888 ']); ?>,將此文件傳至存儲(chǔ)庫(kù)->等待管道傳遞->漏洞報(bào)告。





2.在漏洞報(bào)告處,改變狀態(tài)->然后你可以添加評(píng)論,攔截請(qǐng)求,并添加評(píng)論,你可以看到discussion_id。







3.作為攻擊者,轉(zhuǎn)到受害者的項(xiàng)目——>添加一個(gè)問(wèn)題——>在其中啟動(dòng)一個(gè)線程——>攔截請(qǐng)求并響應(yīng)已創(chuàng)建的線程,您將看到這樣的請(qǐng)求:





4.在步驟2中將in_reply_to_discussion_id更改為discussion_id,然后發(fā)送請(qǐng)求。

5.作為受害者,去漏洞報(bào)告,你會(huì)看到攻擊者發(fā)了一條評(píng)論。





作者:richardo1o1


歡迎關(guān)注微信公眾號(hào) :迪哥講事