Gogs 远程命令执行漏洞分析

先来看一下补丁代码：

代码中通过 ContainsAny() 函数过滤了 ./ 字符，如果存在两个字符中的任意字符则ban掉当前请求，否则继续向下执行。

这里我们通过目录遍历的方式进行读取指定目录内的session信息，然后进行身份校验操作。

通过Burp抓包，Cookie信息中有一个比较明显的字段i_like_gogits，在代码中全局搜索下方便定位漏洞触发点。

\gogs\conf\app.ini:264-284

指定一个不存在的文件再看一下返回结果：程序正常执行

Bingo！这里可以通过目录遍历的方式使Gogs加载任意文件的内容。

这一块，利用方式也就明了了，如果可以指定其加载管理员的session，我们就可以登录管理员的账号了。

翻一下session的生成代码，这里类似序列化、反序列的操作，其处理函数为：

\gogs\vendor\github.com\go-macaron\cache\utils.go:23-32

直接找个服务端生成的session通过DecodeGob()解码下，内容如下：

一共有三个变量uname、_old_uid、uid。经过测试发现，我们只要指定uid的值为管理员的uid然后通过EncodeGob()将其转码为既定的格式，存储于服务端，Gogs加载该文件即可登录管理员账号。

通过uid进行鉴权，这块的代码在

\gogs\pkg\auth\auth.go:84-150

通过EncodeGob()生成PoC：

为了验证我们的猜想，先把生成的session文件0kee放置于服务器的tmp目录下，发起请求，

Gogs可以加载该session信息，并且伪造管理员登陆：

关键问题解决了，为了利用这个漏洞，我们现在需要做的是找到一个上传点把我们构造好的session信息上传至服务器。

那Gogs作为一个Git服务器，找到一个上传点自然是不难了（代码总是要通过各种办法push到服务器上的嘛），先创建一个仓库，然后把我们构造好的session文件上传至仓库中，一番搜索找到了上传代码的存放位置：

全局搜索下代码，你会发现这块的逻辑是

\gogs\models\repo.go:594-596

在tmp/local-repo+仓库ID+文件名的形式，那有同学可能就要问了，这个仓库ID是从哪来的，爆破么？当然在仓库量不大的时候通过爆破也不是不行，但是却也不够优雅，看下前端代码，派生操作中即包含这个仓库ID。

touch /tmp/0keeTeam!

0x03 总结

梳理一下完整的漏洞利用流程：

1. 生成伪造的管理员session信息
2. 通过向仓库中上传文件的方式将伪造的session文件上传至服务端
3. 找到文件目录，通过cookie中的i_like_gogits字段指定该文件
4. 成功伪造管理员登陆
5. 创建仓库以及Git钩子执行的shell脚本

将仓库clone回本地修改代码后push回服务端，此时成功实现命令执行！