vulhub中GitLab 任意文件读取漏洞复现(CVE-2016-9086)

余生有个小酒馆2024-03-21 15:05

GitLab是一款Ruby开发的Git项目管理平台。在8.9版本后添加的"导出、导入项目"功能,因为没有处理好压缩包中的软连接,已登录用户可以利用这个功能读取服务器上的任意文件。

环境运行后,访问http://your-ip:8080即可查看GitLab主页,其ssh端口为10022,默认管理员账号、密码是rootvulhub123456

漏洞复现

注册并登录用户,新建一个项目,点击GitLab export

在导入页面,将<test.tar.gz>上传,将会读取到/etc/passwd文件内容:

相关推荐
Irene199125 分钟前
查看是否已安装 Git 的方法
git
my_power52029 分钟前
检出git项目到android studio该如何配置
android·git·android studio
安果移不动38 分钟前
Git 实战:如何优雅地撤销历史中的某一个 Commit?
git
啥都不懂的小小白4 小时前
Git 入门指南:从零开始掌握版本控制
git
AI逐月4 小时前
Git 彻底清除历史记录
大数据·git·elasticsearch
询问QQ688238864 小时前
基于主从博弈理论的共享储能与综合能源微网优化运行研究复现
web安全
有什么东东5 小时前
Windows安装git教程以及初步使用
git
不爱吃米饭_5 小时前
Gitea 轻量级的Git方案 - Gitlab的替代品
git·gitlab·gitea
白帽子凯哥哥6 小时前
转行网络安全学习计划与报班建议
学习·安全·web安全·网络安全·渗透测试·漏洞挖掘·网安培训
CoderJia程序员甲8 小时前
GitHub 热榜项目 - 日榜(2025-12-15)
git·ai·开源·llm·github
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04【AutoGLM部署】本地私有化部署AI手机Agent05Open-AutoGLM Windows 安装部署教程06Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser07在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)08【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)09安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)10BongoCat - 跨平台键盘猫动画工具