简介
参考链接:
GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务。安装方法是参考GitLab在GitHub上的Wiki页面。
CVE-2016-9086(任意文件读取)
参考链接:
影响版本:GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13
漏洞原理:
漏洞复现
启动环境,访问10080端口。注:普通1核2G的云主机不满足性能要求。
我使用的是火狐浏览器,火狐浏览器默认会禁止用于网络浏览以外目的的端口访问,会有以下页面。
解决方式:
https://jingyan.baidu.com/article/4e5b3e19eb921991901e24f7.html
但是我的版本操作步骤跟百科的比已经发生了变化,我在浏览器中右键并没有新建功能。
-
在地址栏输入:
about:config。 -
在
about:config的搜索框输入network.security.ports.banned.override,值选择字符串。
-
单击右侧的添加按钮,将值设为10080,点击右侧对号。
访问10080端口成功页面。
从访问成功的页面内容以及url链接看,目前是在一个密码修改的页面,输入要修改的密码(密码要求8位),点击Change your password确定。
密码修改后登录系统,用户名root。
登录系统后,新建一个项目,选择New project。在Project name中输入值,不然GitLab export呈灰色无法点击。输入内容后,点击该项。
在新的导入页面中,点击浏览,上传vulhub目录下的test.tar.gz文件,点击导入Import project。
上传完成后点击Import repository,可能是因为我已经上传过了才有这个页面。
查看结果。
漏洞修复
没有找到,但应该少不了升级版本。