Last updated
Last updated
Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках.
Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}
Найти по имени конкретного пользователя (чтобы найти id): https://gitlab.company.local/api/v4/users?username=myuser
На самом gitlab - эта ручка также доступна, например :
{"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"
Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.
По логину также можно узнать открытые ключи -
Отдельного упоминания заслуживает avatar_url:
Сервис gavatar содержит email в пути к изображению - 4e99709ca6b52f78d02cb92a5bc65d85. Это ни что иное, как md5 от email’а в нижнем регистре.
echo -n "webpwn@bo0om.ru" | md5
4e99709ca6b52f78d02cb92a5bc65d85
А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.
Еще прикол: открываешь gitlab — редирект на страницу авторизации. Но, если открыть https://gitlab.somedomain.com/projects — то покажет public проекты.
Пример URL (можно найти через Google Dorks): https://gitlab.example.com/snippets/91
Суть: создаем сниппет с прикрепленным изображением в формате DjVu и получаем RCE.
Уязвимость в ExifTool ?
”avatar_url":"
Hackerone:
Exploit: