在服務器上布署代碼時。如果是使用 svn checkout 功能來更新代碼,而沒有配置好目錄訪問權限,則會存在此漏洞。黑客利用此漏洞,可以下載整套網站的源代碼。
一、.svn 目錄
使用svn checkout后,項目目錄下會生成隱藏的.svn文件夾(Linux上用ls命令看不到,要用ls -al命令)。
svn1.6及以前版本會在項目的每個文件夾下都生成一個.svn文件夾,里面包含了所有文件的備份,文件名為 .svn/text-base/文件名.svn-base
svn1.7及以后版本則只在項目根目錄生成一個.svn文件夾,里面的pristine文件夾里包含了整個項目的所有文件備份
下面我以svn1.7及之后版本為例,講解如何利用此漏洞下載整個網站源代碼
二、分析.svn目錄內容
我們看到的是一個名為 wc.db 的文件,用文本編輯器打開看到第一行有寫 SQLite format 3 ,可以知道,這是一個SQLite數據庫的文件,后面包含的信息,文本編輯器就先不看了。我們下載一個正經的SQLite查看軟件來慢慢看--SQLite Studio 。
在軟件下載完之前,再看看此文件夾里的其他內容:
entries和format文件里面,只有個數字12,沒什么參考意義;wc.db-journal文件是空的,也沒什么價值;tmp目錄里面也是空的;
pristine里面內容就多了,一堆00~ff的文件夾,每個文件夾里有若干個 .svn-base文件;用文本編輯器打開看一下,有些文件是代碼,有些文件是亂碼(大概是圖片文件吧)。看來這個文件夾是整個項目文件的一份備份,只是一堆哈希過的文件名,似乎有點難下手啊。
畢竟是無規律的這一堆文件名,40位的哈希(36^40)這樣的暴力窮舉下載的話,即便是N多線程,時間成本上也是非常大的啊。而且得到是一堆無序文件,要整理成原來代碼項目的樣子,還得費好一陣功夫。
這樣看來,是不是說.svn漏洞利用的價值很少?然而非也,少年,還記得剛才說的 wc.db 文件嗎。現在SQLite Studio軟件應該下載好了,我們就打開看看這里有什么來頭吧
三、wc.db文件,有你想要的一切
用SQLiteStudio軟件打開 wc.db文件,我們看到 NODES 表,看到 local relpath欄 和 checksum欄,明白了嗎(滑稽.jpg)。checksum欄里的$sha1$后面的那串數字就是pristine文件夾里的那堆文件的文件名,pristine里的00~ff文件夾,其實是文件名的前兩位,而local relpath就是原始的文件名。
現在,我們根據這個 wc.db 的NODES表,遍歷這個表里的每一行,就可以下載到整個項目里的代碼了,而且還能得到對應的真實文件名,可謂豈不快哉?
(下面截圖為我自己的項目,僅作參考)
除了NODES表以外,還可以看到一個 REPOSITORY表,里面存儲了svn的項目路徑和 uuid,如果沒有做訪問IP限制的話,你可以直接使用此信息取得此項目的SVN權限(下載、提交等)…
四、漏洞修復
方案一、不要使用svn checkout和svn up更新服務器上的代碼,使用svn export(導出)功能代替。
方案二、服務器軟件(Nginx、apache、tomcat、IIS等)設置目錄權限,禁止訪問.svn和.git目錄,下面示范為禁止訪問點號開頭的目錄
Nginx的vhosts中配置
location ~ (/\.){
deny all;
}
Apache的vhosts中配置
<Directory ~ "/\."> Deny from all </Directory>
不只svn,git或者其他版本管理軟件也存在類似的問題
