vulhub中GitLab 任意文件读取漏洞复现(CVE-2016-9086)

余生有个小酒馆2024-03-21 15:05

GitLab是一款Ruby开发的Git项目管理平台。在8.9版本后添加的"导出、导入项目"功能,因为没有处理好压缩包中的软连接,已登录用户可以利用这个功能读取服务器上的任意文件。

环境运行后,访问http://your-ip:8080即可查看GitLab主页,其ssh端口为10022,默认管理员账号、密码是rootvulhub123456

漏洞复现

注册并登录用户,新建一个项目,点击GitLab export

在导入页面,将<test.tar.gz>上传,将会读取到/etc/passwd文件内容:

相关推荐
2401_859049083 分钟前
git submodule update --init --recursive无法拉取解决
前端·chrome·git
EverydayJoy^v^4 小时前
RH134学习进程——十一.管理网络安全
学习·安全·web安全
是店小二呀4 小时前
Git 深度学习笔记:从初始化到核心操作机制解析
笔记·git
xlq223225 小时前
11.git_gbd
git
CCC:CarCrazeCurator5 小时前
IDE 与编程语言区分介绍
git·github
Q741_1475 小时前
Git 基础操作速查手册 场景模拟
git·学习·版本控制·总结
玉梅小洋11 小时前
Git 使用技巧——查看 Commit 修改文件的概要
git·github
Howie Zphile1 天前
Git 拉 NocoBase 2.0 beta(next 分支),并“每天自动更新 + 自动编译 + 自动重启”
大数据·git·elasticsearch
运筹vivo@1 天前
BUUCTF: [BSidesCF 2020]Had a bad day
web安全·ctf
吕司1 天前
Git分支管理
git
热门推荐
01GitHub 镜像站点02Clawdbot 中文汉化版 接入微信、飞书03OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)042026美赛A题智能手机电池续航时间预测的连续时间数学模型052025 年大语言模型发展回顾:关键突破、意外转折与 2026 年展望06【Milvus】向量数据库pymilvus使用教程072026数学建模美赛题目特点与选题建议,常用四大模型汇总08Claude Code Skills 实用使用手册09一种新的LCA算法10Linux下V2Ray安装配置指南