Gitea Security
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Gitea è una soluzione leggera di hosting di codice gestita dalla comunità e auto-ospitata scritta in Go.
Per eseguire un'istanza di Gitea localmente, puoi semplicemente eseguire un container docker:
Collegati alla porta 3000 per accedere alla pagina web.
Puoi anche eseguirlo con kubernetes:
Repos pubblici: http://localhost:3000/explore/repos
Utenti registrati: http://localhost:3000/explore/users
Organizzazioni registrate: http://localhost:3000/explore/organizations
Nota che per default Gitea consente a nuovi utenti di registrarsi. Questo non darà accesso particolarmente interessante ai nuovi utenti su altri repos di organizzazioni/utenti, ma un utente autenticato potrebbe essere in grado di visualizzare più repos o organizzazioni.
Per questo scenario supponiamo che tu abbia ottenuto un certo accesso a un account github.
Se in qualche modo hai già le credenziali per un utente all'interno di un'organizzazione (o hai rubato un cookie di sessione) puoi semplicemente accedere e controllare quali permessi hai su quali repos, in quali team sei, elencare altri utenti, e come sono protetti i repos.
Nota che 2FA potrebbe essere utilizzato quindi potrai accedere a queste informazioni solo se riesci anche a superare quel controllo.
Nota che se riesci a rubare il cookie i_like_gitea
(attualmente configurato con SameSite: Lax) puoi completamente impersonare l'utente senza bisogno di credenziali o 2FA.
Gitea consente agli utenti di impostare chiavi SSH che verranno utilizzate come metodo di autenticazione per distribuire codice per loro conto (non viene applicata 2FA).
Con questa chiave puoi effettuare modifiche nei repository dove l'utente ha alcuni privilegi, tuttavia non puoi usarla per accedere all'api di gitea per enumerare l'ambiente. Tuttavia, puoi enumerare le impostazioni locali per ottenere informazioni sui repos e sugli utenti a cui hai accesso:
Se l'utente ha configurato il proprio nome utente come il suo nome utente gitea, puoi accedere alle chiavi pubbliche che ha impostato nel suo account in https://github.com/<gitea_username>.keys, puoi controllare questo per confermare che la chiave privata che hai trovato può essere utilizzata.
Le chiavi SSH possono anche essere impostate nei repository come chiavi di distribuzione. Chiunque abbia accesso a questa chiave sarà in grado di lanciare progetti da un repository. Di solito, in un server con diverse chiavi di distribuzione, il file locale ~/.ssh/config
ti darà informazioni su quale chiave è correlata.
Come spiegato qui, a volte è necessario firmare i commit o potresti essere scoperto.
Controlla localmente se l'utente corrente ha qualche chiave con:
Per un'introduzione sui Token Utente controlla le informazioni di base.
Un token utente può essere utilizzato invece di una password per autenticarsi contro il server Gitea via API. avrà accesso completo sull'utente.
Per un'introduzione sulle Applicazioni Oauth di Gitea controlla le informazioni di base.
Un attaccante potrebbe creare un'Applicazione Oauth malevola per accedere a dati/azioni privilegiati degli utenti che le accettano probabilmente come parte di una campagna di phishing.
Come spiegato nelle informazioni di base, l'applicazione avrà accesso completo all'account utente.
In Github abbiamo le github actions che per impostazione predefinita ottengono un token con accesso in scrittura sul repo che può essere utilizzato per bypassare le protezioni dei branch. In questo caso che non esiste, quindi i bypass sono più limitati. Ma diamo un'occhiata a cosa si può fare:
Abilita Push: Se chiunque con accesso in scrittura può pushare sul branch, basta pushare.
Whitelist Push Riservati: Allo stesso modo, se fai parte di questo elenco push sul branch.
Abilita Whitelist Merge: Se c'è una whitelist di merge, devi essere all'interno.
Richiedi approvazioni maggiori di 0: Allora... devi compromettere un altro utente.
Restrigi approvazioni a utenti in whitelist: Se solo gli utenti in whitelist possono approvare... devi compromettere un altro utente che è all'interno di quell'elenco.
Annulla approvazioni scadute: Se le approvazioni non vengono rimosse con nuovi commit, potresti dirottare una PR già approvata per iniettare il tuo codice e unire la PR.
Nota che se sei un admin di org/repo puoi bypassare le protezioni.
I Webhook sono in grado di inviare informazioni specifiche di gitea in alcuni luoghi. Potresti essere in grado di sfruttare quella comunicazione. Tuttavia, di solito un segreto che non puoi recuperare è impostato nel webhook che prevenirà gli utenti esterni che conoscono l'URL del webhook ma non il segreto di sfruttare quel webhook. Ma in alcune occasioni, le persone invece di impostare il segreto al suo posto, lo impostano nell'URL come parametro, quindi controllare gli URL potrebbe permetterti di trovare segreti e altri luoghi che potresti sfruttare ulteriormente.
I webhook possono essere impostati a livello di repo e di org.
Se in qualche modo sei riuscito a entrare nel server dove gira gitea, dovresti cercare il file di configurazione di gitea. Per impostazione predefinita si trova in /data/gitea/conf/app.ini
In questo file puoi trovare chiavi e password.
Nel percorso di gitea (per impostazione predefinita: /data/gitea) puoi trovare anche informazioni interessanti come:
Il DB sqlite: Se gitea non utilizza un db esterno utilizzerà un db sqlite.
Le sessioni all'interno della cartella delle sessioni: Eseguendo cat sessions/*/*/*
puoi vedere i nomi utente degli utenti connessi (gitea potrebbe anche salvare le sessioni all'interno del DB).
La chiave privata jwt all'interno della cartella jwt.
Maggiore informazione sensibile potrebbe essere trovata in questa cartella.
Se sei all'interno del server puoi anche utilizzare il binario gitea
per accedere/modificare informazioni:
gitea dump
eseguirà il dump di gitea e genererà un file .zip.
gitea generate secret INTERNAL_TOKEN/JWT_SECRET/SECRET_KEY/LFS_JWT_SECRET
genererà un token del tipo indicato (persistenza).
gitea admin user change-password --username admin --password newpassword
Cambia la password.
gitea admin user create --username newuser --password superpassword --email user@user.user --admin --access-token
Crea un nuovo utente admin e ottieni un token di accesso.
Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)