安全RCE之未授权访问分析(12)

Rake是一门构建语言，和make和ant很像。Rake是用Ruby写的，它支持它自己的DSL用来处理和维护Ruby应用程序。Rails用rake的扩展来完成多种不同的任务。

漏洞复现分析

网上最开始流传的方式为通过后台上传恶意JPG格式文件触发代码执行。从之后流出的在野利用分析来看，上传接口其实并不需要认证，也就是未授权的RCE，只需要获取到CSRF-Token和未登录session即可。该漏洞的触发流程可大概分为两种，下面将一一介绍。

漏洞调试环境搭建

本次调试由于本地GitLab Development Kit环境搭建未果，最后选择了两种不同的方式来完成本次漏洞分析的调试，关于workhorse调试环境使用gitlab官方docker配合vscode进行调试，官方docker拉取
docker run -itd -p 1180:80 -p 1122:22 -v /usr/local/gitlab-test/etc:/etc/gitlab -v /usr/local/gitlab-test/log:/var/log/gitlab -v /usr/local/gitlab-test/opt:/var/opt/gitlab --restart always --privileged=true --name gitlab-test gitlab/gitlab-ce:13.10.2-ce.0
运行docker后在本地使用命令可查看workhorse进程ID。

新建目录/var/cache/omnibus/src/gitlab-rails/workhorse/将workhorse源码复制到其下。安装vscode后打开上述目录按提示安装go全部的相关插件，然后添加调试配置，使用dlv attach模式。填入进程PID。下断点开启调试即可正常调试。