内容简介:作者André被邀请参加了H1-702 2018,并对GitHub进行了渗透测试。André喜欢入侵他常用的软件,因为他对其特征比较熟悉,故此他认为GitHub是一个不错的目标。最后研究人员发现GitHub Desktop OSX版本中存在RCE漏洞。关于GitHub相关的漏洞和悬赏计划参见研究人员注意到@zhuowei去年报告了一个GitHub Desktop的漏洞:
作者André被邀请参加了H1-702 2018,并对GitHub进行了渗透测试。André喜欢入侵他常用的软件,因为他对其特征比较熟悉,故此他认为GitHub是一个不错的目标。最后研究人员发现GitHub Desktop OSX版本中存在RCE漏洞。
关于GitHub相关的漏洞和悬赏计划参见 https://bounty.github.com 。
漏洞
研究人员注意到@zhuowei去年报告了一个GitHub Desktop的漏洞:
大家应该都见过这样的场景:
首先从GitHub Desktop使用的URI方案x-github-client://开始。URL中支持的动作就包括openRepo,可以自动打开repository(仓库)中指定的文件。如果仓库不存在,APP会让用户克隆该仓库,然后打开指定的文件。比如:
如果文件路径是:
会怎么样呢?
打开该URL会弹出一个计算器,也就是成功逃逸出仓库所在目录,也可以打开文件系统中的任意APP或文件。但在OSX仓库中可以含有一个APP,这可以是一个含有Application Bundle(应用程序包)的目录。首先,研究人员认为OSX可以检测出该APP是从网络上下载的。因为APP是从Git克隆的,OS会向用户弹窗要求用户确认这一动作。那么这一问题的根源是什么呢?
app/src/main-process/main.ts
app/src/main-process/shell.ts
原来在OSX中,目录路径会被转换为file:/// URL,然后Electron函数shell.openExternal()在桌面版的默认方式打开URL。
PoC
研究人员用pyinstaller写了一个简单的逆向 shell 应用,并将其推送到github-desktop-poc仓库中:
如果github-desktop-poc之前没有克隆,用户就需要点击clone,用户点击clone后指定的文件马上就会打开。在POC视频中可以看到不需要其他的用户交互。
攻击场景:
攻击者可以在其GitHub仓库中放一个OSX app,并通过恶意链接分发和传播,比如在README.md中。攻击者就可以在使用OSX系统的GitHub Desktop的用户机器上实现远程代码执行。
但这种RCE要求有以下先决条件:
·恶意库已克隆;
·Trusting GitHub Desktop URLs(可信的GitHub桌面版URL)可在相关的APP中打开链接的相关类型。
POC视频: https://pwning.re/files/bug-bounty/github-desktop-rce-poc.mov
漏洞修复
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 漏洞分析:OpenSSH用户枚举漏洞(CVE-2018-15473)分析
- 【漏洞分析】CouchDB漏洞(CVE–2017–12635, CVE–2017–12636)分析
- 【漏洞分析】lighttpd域处理拒绝服务漏洞环境从复现到分析
- 漏洞分析:对CVE-2018-8587(Microsoft Outlook)漏洞的深入分析
- 路由器漏洞挖掘之 DIR-815 栈溢出漏洞分析
- Weblogic IIOP反序列化漏洞(CVE-2020-2551) 漏洞分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
JavaScript高级程序设计:第2版
Nicholas Zakas / 李松峰、曹力 / 人民邮电出版社 / 2010-7 / 89.00元
《JavaScript高级程序设计(第2版)》在上一版基础上进行了大幅度更新和修订,融入了近几年来JavaScript应用发展的最新成果,几乎涵盖了所有需要理解的重要概念和最新的JavaScript应用成果。从颇具深度的JavaScript语言基础到作用域(链),从引用类型到面向对象编程,从极其灵活的匿名函数到闭包的内部机制,从浏览器对象模型(BOM)、文档对象模型(DOM)到基于事件的Web脚本......一起来看看 《JavaScript高级程序设计:第2版》 这本书的介绍吧!
