Gitea Security

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai repo github di HackTricks e HackTricks Cloud.

Cos'è Gitea

Gitea è una soluzione di hosting del codice leggera, gestita dalla comunità e self-hosted scritta in Go.

Informazioni di Base

Basic Gitea Information

Lab

Per eseguire un'istanza Gitea localmente, puoi semplicemente eseguire un container docker:

docker run -p 3000:3000 gitea/gitea

Connettiti alla porta 3000 per accedere alla pagina web.

Puoi anche eseguirlo con kubernetes:

helm repo add gitea-charts https://dl.gitea.io/charts/
helm install gitea gitea-charts/gitea

Enumerazione Non Autenticata

Repos pubblici: http://localhost:3000/explore/repos
Utenti registrati: http://localhost:3000/explore/users
Organizzazioni registrate: http://localhost:3000/explore/organizations

Nota che per default Gitea permette ai nuovi utenti di registrarsi. Questo non darà accesso particolarmente interessante ai nuovi utenti sui repos di altre organizzazioni/utenti, ma un utente loggato potrebbe essere in grado di visualizzare più repos o organizzazioni.

Sfruttamento Interno

Per questo scenario supponiamo che tu abbia ottenuto qualche accesso a un account github.

Se in qualche modo hai già le credenziali per un utente all'interno di un'organizzazione (o hai rubato un cookie di sessione) puoi semplicemente effettuare il login e controllare quali permessi hai su quali repos, in quali team sei, elencare altri utenti, e come sono protetti i repos.

Nota che potrebbe essere utilizzata la 2FA quindi potrai accedere a queste informazioni solo se riesci anche a superare quel controllo.

Nota che se riesci a rubare il cookie i_like_gitea (attualmente configurato con SameSite: Lax) puoi completamente impersonare l'utente senza bisogno di credenziali o 2FA.

Con Chiave SSH Utente

Gitea permette agli utenti di impostare chiavi SSH che verranno utilizzate come metodo di autenticazione per distribuire codice per loro conto (non viene applicata la 2FA).

Con questa chiave puoi effettuare modifiche nei repository dove l'utente ha alcuni privilegi, tuttavia non puoi usarla per accedere all'api di gitea per enumerare l'ambiente. Tuttavia, puoi enumerare le impostazioni locali per ottenere informazioni sui repos e sugli utenti a cui hai accesso:

# Go to the the repository folder
# Get repo config and current user name and email
git config --list

Se l'utente ha configurato il suo username come il suo username gitea, puoi accedere alle chiavi pubbliche che ha impostato nel suo account in https://github.com/<gitea_username>.keys, puoi controllare questo per confermare che la chiave privata che hai trovato può essere utilizzata.

Le chiavi SSH possono anche essere impostate nei repository come deploy keys. Chiunque abbia accesso a questa chiave sarà in grado di lanciare progetti da un repository. Di solito, in un server con diverse deploy keys, il file locale ~/.ssh/config ti darà informazioni sulla chiave correlata.

GPG Keys

Come spiegato qui a volte è necessario firmare i commit o potresti essere scoperto.

Controlla localmente se l'utente corrente ha qualche chiave con:

gpg --list-secret-keys --keyid-format=long

Con Token Utente

Per un'introduzione sui Token Utente controlla le informazioni di base.

Un token utente può essere utilizzato invece di una password per autenticarsi contro il server Gitea via API. Avrà accesso completo sull'utente.

Con Applicazione Oauth

Per un'introduzione sulle Applicazioni Oauth di Gitea controlla le informazioni di base.

Un attaccante potrebbe creare una Applicazione Oauth malevola per accedere a dati/azioni privilegiate degli utenti che le accettano, probabilmente come parte di una campagna di phishing.

Come spiegato nelle informazioni di base, l'applicazione avrà accesso completo sull'account utente.

Bypass Protezione Branch

In Github abbiamo github actions che di default ottengono un token con accesso in scrittura sul repo che può essere utilizzato per bypassare le protezioni del branch. In questo caso ciò non esiste, quindi i bypass sono più limitati. Ma diamo un'occhiata a cosa si può fare:

Abilitare Push: Se chiunque con accesso in scrittura può fare push sul branch, basta fare push su di esso.
Whitelist Push Ristretto: Allo stesso modo, se fai parte di questa lista fai push sul branch.
Abilitare Whitelist Merge: Se c'è una whitelist per il merge, devi essere all'interno di essa.
Richiedere approvazioni maggiori di 0: Allora... devi compromettere un altro utente.
Limitare approvazioni agli utenti in whitelist: Se solo gli utenti in whitelist possono approvare... devi compromettere un altro utente che è all'interno di quella lista.
Annullare approvazioni obsolete: Se le approvazioni non vengono rimosse con nuovi commit, potresti dirottare una PR già approvata per iniettare il tuo codice e unire la PR.

Nota che se sei un admin di org/repo puoi bypassare le protezioni.

Enumerare Webhook

I Webhook sono in grado di inviare informazioni specifiche di gitea a certi luoghi. Potresti essere in grado di sfruttare quella comunicazione. Tuttavia, di solito un segreto che non puoi recuperare è impostato nel webhook che impedirà agli utenti esterni che conoscono l'URL del webhook ma non il segreto di sfruttare quel webhook. Ma in alcune occasioni, le persone invece di impostare il segreto nel suo posto, lo impostano nell'URL come parametro, quindi controllare gli URL potrebbe permetterti di trovare segreti e altri luoghi che potresti sfruttare ulteriormente.

I webhook possono essere impostati a livello di repo e di org.

Post Exploitation

All'interno del server

Se in qualche modo sei riuscito ad entrare nel server dove gitea è in esecuzione, dovresti cercare il file di configurazione di gitea. Di default si trova in /data/gitea/conf/app.ini

In questo file puoi trovare chiavi e password.

Nel percorso di gitea (di default: /data/gitea) puoi trovare anche informazioni interessanti come:

Il DB sqlite: Se gitea non utilizza un db esterno, utilizzerà un db sqlite.
Le sessioni all'interno della cartella delle sessioni: Eseguendo cat sessions/*/*/* puoi vedere i nomi utente degli utenti loggati (gitea potrebbe anche salvare le sessioni all'interno del DB).
La chiave privata jwt all'interno della cartella jwt.
Altre informazioni sensibili potrebbero essere trovate in questa cartella.

Se sei all'interno del server puoi anche usare il binario gitea per accedere/modificare informazioni:

gitea dump eseguirà un dump di gitea e genererà un file .zip.
gitea generate secret INTERNAL_TOKEN/JWT_SECRET/SECRET_KEY/LFS_JWT_SECRET genererà un token del tipo indicato (persistenza).
gitea admin user change-password --username admin --password newpassword Cambia la password.
gitea admin user create --username newuser --password superpassword --email user@user.user --admin --access-token Crea un nuovo utente admin e ottieni un access token.