记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

OSX Github桌面版RCE漏洞分析

2018-12-19 12:20

作者André被邀请参加了H1-702 2018,并对GitHub进行了渗透测试。André喜欢入侵他常用的软件,因为他对其特征比较熟悉,故此他认为GitHub是一个不错的目标。最后研究人员发现GitHub Desktop OSX版本中存在RCE漏洞。

关于GitHub相关的漏洞和悬赏计划参见https://bounty.github.com

漏洞

研究人员注意到@zhuowei去年报告了一个GitHub Desktop的漏洞:

大家应该都见过这样的场景:

首先从GitHub Desktop使用的URI方案x-github-client://开始。URL中支持的动作就包括openRepo,可以自动打开repository(仓库)中指定的文件。如果仓库不存在,APP会让用户克隆该仓库,然后打开指定的文件。比如:

image.png

如果文件路径是:

image.png

会怎么样呢?

打开该URL会弹出一个计算器,也就是成功逃逸出仓库所在目录,也可以打开文件系统中的任意APP或文件。但在OSX仓库中可以含有一个APP,这可以是一个含有Application Bundle(应用程序包)的目录。首先,研究人员认为OSX可以检测出该APP是从网络上下载的。因为APP是从Git克隆的,OS会向用户弹窗要求用户确认这一动作。那么这一问题的根源是什么呢?

app/src/main-process/main.ts

image.png

app/src/main-process/shell.ts

image.png

原来在OSX中,目录路径会被转换为file:/// URL,然后Electron函数shell.openExternal()在桌面版的默认方式打开URL。

PoC

研究人员用pyinstaller写了一个简单的逆向shell应用,并将其推送到github-desktop-poc仓库中:

image.png

如果github-desktop-poc之前没有克隆,用户就需要点击clone,用户点击clone后指定的文件马上就会打开。在POC视频中可以看到不需要其他的用户交互。

攻击场景:

攻击者可以在其GitHub仓库中放一个OSX app,并通过恶意链接分发和传播,比如在README.md中。攻击者就可以在使用OSX系统的GitHub Desktop的用户机器上实现远程代码执行。

但这种RCE要求有以下先决条件:

· 恶意库已克隆;

· Trusting GitHub Desktop URLs(可信的GitHub桌面版URL)可在相关的APP中打开链接的相关类型。

POC视频:https://pwning.re/files/bug-bounty/github-desktop-rce-poc.mov

漏洞修复

本文翻译自:https://pwning.re/2018/12/04/github-desktop-rce/如若转载,请注明原文地址: http://www.hackdig.com/12/hack-53899.htm
知识来源: www.4hou.com/vulnerable/15004.html

阅读:78151 | 评论:0 | 标签:漏洞 RCE漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“OSX Github桌面版RCE漏洞分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词