vulhub中GitLab 任意文件读取漏洞复现(CVE-2016-9086)

余生有个小酒馆2024-03-21 15:05

GitLab是一款Ruby开发的Git项目管理平台。在8.9版本后添加的"导出、导入项目"功能,因为没有处理好压缩包中的软连接,已登录用户可以利用这个功能读取服务器上的任意文件。

环境运行后,访问http://your-ip:8080即可查看GitLab主页,其ssh端口为10022,默认管理员账号、密码是rootvulhub123456

漏洞复现

注册并登录用户,新建一个项目,点击GitLab export

在导入页面,将<test.tar.gz>上传,将会读取到/etc/passwd文件内容:

相关推荐
m0_635647484 小时前
git管理github上的repository(二)
git·github
dalerkd6 小时前
企业产品网络安全日志6月10日-WAF资费消耗排查
网络·安全·web安全
网安INF7 小时前
CVE-2024-23897源码分析与漏洞复现(Jenkins 任意文件读取)
java·web安全·网络安全·jenkins·漏洞
今夕节度使11 小时前
通过 VS Code 连接 GitLab 并上传项目
git·elasticsearch·gitlab
陈 洪 伟11 小时前
复习Git命令、Git命令使用流程、VSCode+Git插件管理工程源码
git
vortex512 小时前
Nuclei PoC 编写详解:从入门到实践
安全·web安全·网络安全·渗透测试
云盾安全防护13 小时前
金融机构的网络安全
网络·安全·web安全
百锦再13 小时前
Git 使用大全:从入门到精通
git·version·版本·代码·分支·code·clone
中微子14 小时前
📝 终极Git Commit Message规范指南:写出专业级提交记录
git·github
热门推荐
01DeepSeek各版本说明与优缺点分析02【图像处理与机器视觉】XJTU期末考点03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】07零代码入门 | Coze——让大模型接入自己的数据库08Coze扣子平台完整体验和实践(附国内和国际版对比)09【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!10Trae AI 开发工具使用手册