漏洞平台

POC详情： 40aa41d003c8331402128ecc7beb374c4da98a0b

来源

https://github.com/thanhlam-attt/CVE-2023-7028

关联漏洞

标题： GitLab 安全漏洞 (CVE-2023-7028)
描述：GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。 GitLab 存在安全漏洞，该漏洞源于用户帐户密码重置电子邮件可能会发送到未经验证的电子邮件地址。

介绍

### Giới thiệu

- `GitLab` là trình quản lý kho dữ liệu lưu trữ trên web được áp dụng rộng rãi, cung cấp nền tảng toàn diện để quản lý mã nguồn, tích hợp, duy trì và cộng tác trong các dự án phát triển phần mềm
- `CVE-2023-7028` là lỗ hổng cho phép attacker chiếm được tài khoản người dùng `(Account TakeOver)` thông qua form `reset password`
- Lỗ hổng nằm trong các `phiên bản` sau của GitLab:
    - 16.1 to 16.1.5
    - 16.2 to 16.2.8
    - 16.3 to 16.3.6
    - 16.4 to 16.4.4
    - 16.5 to 16.5.5
    - 16.6 to 16.6.3
    - 16.7 to 16.7.1

### Phân tích lỗ hổng

- Lỗ hổng nằm tại form `reset password` cụ thể là API endpoint `POST /users/password` của GitLab, Attacker khai thác lỗ hổng trong trường email addres bypass kiểm tra sai format dẫn tới việc attacker có thể chèn email của mình vào và khi đó GitLab gửi `reset token` tới cho email của attacker
- Phân tích lỗ hổng:
    - Dựa vào [đoạn code](https://gitlab.com/gitlab-org/gitlab-foss/-/commit/21f32835ac7ca8c7ef57a93746dac7697341acc0) GitLab cung cấp ta nhận thấy như sau:
        
        ![1](https://github.com/thanhlam-attt/CVE-2023-7028/assets/79523444/f01bdb76-1c45-4516-b123-25eb8f4cf577)

        
        - Phần xử lý yêu cầu Reset Password nằm tại file **`spec/controllers/passwords_controller_spec.rb`,** cho phép nhập vào nhiều email từ input nhưng không có bất cứ cơ chế xác thực email nào để xác nhận rằng đó là email của user
        - Phía server chỉ yêu cầu `authenticity_token` (đây là hidden token để chống CSRF) từ phía attacker trong form submit để gửi request reset passwd
            
            ![2](https://github.com/thanhlam-attt/CVE-2023-7028/assets/79523444/6774da10-d9fd-4bd4-8b68-937aa824ea39)

            
        
         → Ta có thể chèn email của mình vào để nhận `reset token` reset passwd của email nạn nhân từ đó chiếm được tài khoản người dùng
        

### Khai thác lỗ hổng

- Bắt request reset password ta được như sau:
    
    ![3](https://github.com/thanhlam-attt/CVE-2023-7028/assets/79523444/5bdc4438-9870-487b-b900-d6c13a2ba9fe)

    
    - Form bao gồm một `authenticity_token` được sử dụng để chống CSRF, tên email của user được reset passwd được đặt trong biến `user[email]`
- Add thêm email của attacker theo payload như sau `&user[email][]=victim_email&user[email][]=attacker_email` và gửi request:
    
    ![4](https://github.com/thanhlam-attt/CVE-2023-7028/assets/79523444/a8516953-7454-40fb-ba43-d287fc3eb02d)

    
    → Check email của attacker nhận thấy rằng reset password token đã được gửi tới và có thể truy cập để thay đổi passwd
    
    ![5](https://github.com/thanhlam-attt/CVE-2023-7028/assets/79523444/092b750d-4884-4d4c-9b5c-682ad0ed15ea)

    
    ![6](https://github.com/thanhlam-attt/CVE-2023-7028/assets/79523444/009d2548-4fb2-4e94-9423-cd8e0290de67)

文件快照


 [4.0K]  /data/pocs/40aa41d003c8331402128ecc7beb374c4da98a0b
├── [3.2K]  CVE-2023-7028 PoC.py
└── [3.1K]  README.md

0 directories, 2 files

神龙机器人已为您缓存

备注

1. 建议优先通过来源进行访问。

2. 如果因为来源失效或无法访问，请发送邮箱到 f.jinxu#gmail.com 索取本地快照（把 # 换成 @）。

3. 神龙已为您对POC代码进行快照，为了长期维护，请考虑为本地POC付费，感谢您的支持。