vulhub中GitLab 远程命令执行漏洞复现(CVE-2021-22205)

余生有个小酒馆2024-03-21 11:30

GitLab是一款Ruby开发的Git项目管理平台。在11.9以后的GitLab中,因为使用了图片处理工具ExifTool而受到漏洞CVE-2021-22204的影响,攻击者可以通过一个未授权的接口上传一张恶意构造的图片,进而在GitLab服务器上执行任意命令。

环境启动后,访问http://your-ip:8080即可查看到GitLab的登录页面。

漏洞复现

GitLab的/uploads/user接口可以上传图片且无需认证,利用<poc.py>脚本来测试这个漏洞:

复制代码 
python poc.py http://your-ip:8080 "touch /tmp/success"

进入容器内,可见touch /tmp/success已成功执行:

相关推荐
霸道流氓气质14 天前
GitLab CI/CD 完全指南
linux·ci/cd·gitlab
sbjdhjd14 天前
从零搭建企业级 CI/CD(下):Jenkins+GitLab+Harbor 全链路实战指南
git·servlet·ci/cd·云原生·云计算·gitlab·jenkins
用什么都重名15 天前
Git 合并两个无共同历史的分支:从报错到解决全记录
git·gitlab
master33615 天前
GitLab (Docker) 常用命令及解决方案清单
docker·容器·gitlab
qq_3564086615 天前
GitLab 单机私有化部署文档(基于 Docker 环境)
docker·gitlab
lisanmengmeng17 天前
gitlab 免密配置
linux·服务器·gitlab
求知若渴,虚心若愚。17 天前
Jenkins 自动化流水线(CICD)
运维·自动化·gitlab
mnasd19 天前
Gitlab + Jenkins 实现 CICD
运维·gitlab·jenkins
鹤鸣的日常19 天前
前端运行时动态环境变量方案
前端·react.js·docker·前端框架·vue·gitlab
starvapour19 天前
Ubuntu部署gitlab频繁出现502的问题
linux·ubuntu·gitlab
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Trae国际版与国内版深度测评:AI原生IDE的双生花05飞书长连接_事件订阅(接收消息,审批任务状态变更)06【AI】2026 年具身智能模型和世界模型总结07Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析08GitHub 镜像站点092026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?102026年AI架构实战:彻底解决OpenAI接口超时与封号,Python调用GPT-5.2/Sora2企业级架构详解(附源码+压测报告)