OSX Github桌面版RCE漏洞分析

ang010ela 漏洞 2018年12月19日发布
Favorite收藏

导语:作者André被邀请参加了H1-702 2018,并对GitHub进行了渗透测试。André喜欢入侵他常用的软件,因为他对其特征比较熟悉,故此他认为GitHub是一个不错的目标。最后研究人员发现GitHub Desktop OSX版本中存在RCE漏洞。

作者André被邀请参加了H1-702 2018,并对GitHub进行了渗透测试。André喜欢入侵他常用的软件,因为他对其特征比较熟悉,故此他认为GitHub是一个不错的目标。最后研究人员发现GitHub Desktop OSX版本中存在RCE漏洞。

关于GitHub相关的漏洞和悬赏计划参见https://bounty.github.com

漏洞

研究人员注意到@zhuowei去年报告了一个GitHub Desktop的漏洞:

大家应该都见过这样的场景:

首先从GitHub Desktop使用的URI方案x-github-client://开始。URL中支持的动作就包括openRepo,可以自动打开repository(仓库)中指定的文件。如果仓库不存在,APP会让用户克隆该仓库,然后打开指定的文件。比如:

image.png

如果文件路径是:

image.png

会怎么样呢?

打开该URL会弹出一个计算器,也就是成功逃逸出仓库所在目录,也可以打开文件系统中的任意APP或文件。但在OSX仓库中可以含有一个APP,这可以是一个含有Application Bundle(应用程序包)的目录。首先,研究人员认为OSX可以检测出该APP是从网络上下载的。因为APP是从Git克隆的,OS会向用户弹窗要求用户确认这一动作。那么这一问题的根源是什么呢?

app/src/main-process/main.ts

image.png

app/src/main-process/shell.ts

image.png

原来在OSX中,目录路径会被转换为file:/// URL,然后Electron函数shell.openExternal()在桌面版的默认方式打开URL。

PoC

研究人员用pyinstaller写了一个简单的逆向shell应用,并将其推送到github-desktop-poc仓库中:

image.png

如果github-desktop-poc之前没有克隆,用户就需要点击clone,用户点击clone后指定的文件马上就会打开。在POC视频中可以看到不需要其他的用户交互。

攻击场景:

攻击者可以在其GitHub仓库中放一个OSX app,并通过恶意链接分发和传播,比如在README.md中。攻击者就可以在使用OSX系统的GitHub Desktop的用户机器上实现远程代码执行。

但这种RCE要求有以下先决条件:

· 恶意库已克隆;

· Trusting GitHub Desktop URLs(可信的GitHub桌面版URL)可在相关的APP中打开链接的相关类型。

POC视频:https://pwning.re/files/bug-bounty/github-desktop-rce-poc.mov

漏洞修复

本文翻译自:https://pwning.re/2018/12/04/github-desktop-rce/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/15004.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论