gitlab 被攻击了！求大佬进来分析一下

about gitlab com/releases
docs gitlab com/ce/update

加上 .

简单说一下 你这个版本收到各种 XSS 未授权访问操作 文件上传 信息泄露等漏洞影响

这些漏洞组合起来存在很多攻击方式



举例：
Stealing GitLab OAuth access tokens using XSLeaks in Safari
Unauthenticated CI lint API may lead to information disclosure and SSRF
Remote code execution when uploading specially crafted image files

@polaa 怪不得我看 gitlab 的访问日志中，超多类似“{domain}/项目组名 /项目名字.git/info/refs?service=git-upload-pack”的路径访问，而且 IP 都是境外！
另外想问一下，我现在的 13.10.2，我是应该升级到 13.12.9，还是 14 的最新版本呢？

https://github.com/offensive-security/exploitdb/blob/1dc98b3b8ebb65274139f4c988efb20c6eccbb3a/exploits/ruby/webapps/49951.py

结案

就创建了一个管理员级别的用户。然后估计可以为所欲为了。反正 git 的 repo 应该都被查看过了。
如果习惯好的话，只是代码泄露，应该还好。

暴露在公网的服务如果没有额外的保护措施就必须跟最新版本走，有任何安全更新必须立即更新，要不然就很容易被批量攻击拿下…

@zhighest 我简单解读一下，任意账号密码 get 请求一下{domain}/users/sign_in，获得一个 token，然后尝试拿 token 去尝试 post 请求这个地址正式登录，如果成功，就继续创建包含命令的图片，并尝试上传到{domain}/uploads/user 。如果是这样的话，我是否能在服务器里面的哪个地方找到上传的图呢？

@zhighest 另外，大佬贴的后面两张图是啥意思？大佬也遇到这个情况了？有个访问 IP 跟我这边的一模一样哦！~

@raysonlu
昨天下午有台“蜜罐”被攻击，搜了下 payload，就找到了这个帖子。应该是批量攻击的，所以 IP 一样。
这个漏洞我没有仔细研究，也许能在服务器上找到图片，也许解析过程中就执行了命令，并没有将图片写到磁盘。有兴趣的话你可以研究下，这儿有篇漏洞复现的文章： https://www.cnblogs.com/ybit/p/14918949.html 。
最重要的是关闭注册功能，升级 Gitlab 。

gitlab 不同版本各种漏洞，技术支持力度不够的话，自建自管理风险真还挺高的。。。国内的话可以考虑下阿里腾讯的公有云服务，至少有人给兜底。