挖洞经验 | 利用开放重定向漏洞劫持GitHub Gist账户 – 作者:clouds

图片[1]-挖洞经验 | 利用开放重定向漏洞劫持GitHub Gist账户 – 作者:clouds-安全小百科近期,我针对GitHub做了一些安全测试,特别对其不同的CSRF token进行了绕过测试,在此过程中,我顺带研究了urls生成的各种方法函数,希望从中发现用来创建token的相关方法,最后发现了其中的一个开放重定向漏洞,利用该漏洞可以成功劫持GitHub Gist账户。漏洞收获了$10,000的奖励。

漏洞发现

在我测试的urls生成方法中,有一个名为url_for的方法,它通常被用来生成一些与控制器(controller)相关的链接。虽然从该方法中我没找到任何可绕过漏洞,但却发现了利用用户可控哈希(controllable hash)进行url_for方法调用的线索。一般来说,url_for方法调用需要把添加进额外参数的用户哈希附加到url后,作为一个查询字符串进行查询,但我通过阅读github说明文档发现,在该方法调用实现过程中,存在一些可控的选项参数:

:only_path – 如果为真true,即返回相应的URL,默认为假false;
:protocol – 即希望连接的协议方式,默认为’http’;
:host – 指定连接的特定主机,如果:only_path为false,该选项必须明确提供或显式提示,或通过default_url_options给出信息;
:subdomain – 指定连接的特定子域名,使用tld_length从host主机信息中分离出子域名。如果该项为false,则从连接的主机信息中删除所有子域名信息;
:domain – 指定连接的特定域名,使用tld_length从host主机信息中分离域名信息;
:tld_length – 组成顶级域名TLD id的标签数量,当:subdomain 或 :domain提供时有用,默认为ActionDispatch::Http::URL.tld_length,而该项值又默认为1;
:port – 指定可选的连接端口;
:anchor – 附加在路径后的属性anchor名称;
:params – 附加在路径后的请求参数;
:trailing_slash – 如果为true,则在末尾添加’/’,如/archive/2009/;
:script_name – 相对于网站根目录的应用程序路径,如果有该选项,则附上应用程序路径。

由于此前我在其它一些应用中见过:protocol、:host选项,以及blacklisted/removed和 :only_path设置为true的实例,但从没见过:script_name选项的使用。貌似:script_name用在path_for方法中居多,且一般被放在路径path开头,如下path_for方法:

def path_for(options)
    path = options[:script_name].to_s.chomp("/")
    path << options[:path] if options.key?(:path)

    add_trailing_slash(path) if options[:trailing_slash]
    add_params(path, options[:params]) if options.key?(:params)
    add_anchor(path, options[:anchor]) if options.key?(:anchor)

    path
end

GitHub中有多个地方用类似以下的代码来创建相应链接:

<a class="link" href="<%= url_for(request.query_parameters.merge(only_path: true)) %>">
    Click me
</a>

也就是说,如果构造形如?script_name=javascript:alert(1)// 的请求字符串,将会生成如以html文件代码:

<a class="link" href="javascript:alert(1)//user/repo/...">
    Click me
</a>

可以看出,如果点击’Click me’,将会触发一个反射型XSS,虽然可能会被CSP策略阻拦,但也算是一个有意思的漏洞。

另外我还发现了一个用可控参数调用url_for方法的地方,这一次它会形成一个重定向跳转。该处在应用程序控制器中的源码如下:

before_action :check_source

  def check_source
    source = params["source"]
    return redirect_to(check_source_redirect_url) if source == "message"
  end

  def check_source_redirect_url
    query = Addressable::URI.parse(request.env["REQUEST_URI"]).query_values || {}
    filtered_params = query.except("source", "token").merge(only_path: true)
    url_for(filtered_params)
  end

由于其中使用了only_path: true,它通常只允许现有主机相关的URL,并且只保留查询参数,但使用script_name的技巧却会引发一些有意思结果。script_name选项不需要以斜线开头,且如果用到了redirect_to的话,script_name中的相关信息将会附加到host之后。最终的请求构造如下:

curl -i 'http://local.dev?source=message&script_name=ggg'
HTTP/1.1 302 Found
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
X-Download-Options: noopen
X-Permitted-Cross-Domain-Policies: none
Referrer-Policy: strict-origin-when-cross-origin
Location: http://local.devggg/welcome/index
Content-Type: text/html; charset=utf-8
Cache-Control: no-cache
X-Request-Id: 7c8eedfa-f552-4d5a-bbcd-295f4e7fd9c0
X-Runtime: 0.002744
Transfer-Encoding: chunked

<html><body>You are being <a href="http://local.devggg/welcome/index">redirected</a>.</body></html>

由于最后的域名是可控的,所以如果script_name中用到了.attacker.domain,那将会发生到.attacker.domain的跳转,之后,我就直接把该问题以开放重定向漏洞上报了。

漏洞利用

第二天,我和朋友讨论过后,他建议我可以把开放重定向用到OAuth tokens上试试,看看会否产生影响。一番分析之后,我意识到这个开放重定向漏洞威力还是大的,它会影响几乎所有的Github控制器路径。

GitHub内置了一些集成的OAuth应用服务,其中就包含了Gist,GitHub Gist和GitHub共享同一个rails应用服务,只是暴露的主机名和路径不同而已。当登录Gist时,在进行OAuth机制的同时会发生以下一大堆的跳转:

1、https://github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9&redirect_uri=https://gist.github.com/auth/github/callback
2、https://gist.github.com/auth/github/callback?browser_session_id=XXX&code=YYY
3、https://gist.github.com/auth/github
4、https://github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9&redirect_uri=https%3A%2F%2Fgist.github.com%2Fauth%2Fgithub%2Fcallback&response_type=code&state=ZZZ
5、https://gist.github.com/auth/github/callback?browser_session_id=XXX&code=YYY&state=ZZZ
6、https://gist.github.com/

攻击者要成功登录Gist服务,只需要上述过程中的browser_session_id和code参数,由于client_id是公开的,因为这里只有CSRF防护,所以攻击者端在请求时即可生成state参数。

刚开始到redirect_uri 的跳转,可包含code和browser_session_id参数,所以我尝试在其中添加了形如script_name=.wbowling.info域名值,一试竟然有效了,可以成功携带相关请求参数跳转到.wbowling.info。

之后,我通过功能路径https://gist.github.com/auth/github/callback获取到了有效的state参数,然后,再综合前面的browser_session_id和code参数,成功登录了Gist服务,实现了账户劫持攻击。

由于GitHub 和 Gist使用的会话token不同,因此利用该漏洞不能对受害者的github.com服务造成影响,仅会对Gist服务形成访问控制威胁。

漏洞报送和处理进程

2020.6.26 00:33:38 AEST – 以开放重定向漏洞上报
2020.6.26 12:57:38 AEST – 继续测试发现Gist账户劫持漏洞并上报
2020.6.26 23:33:30 AEST – 漏洞分类
2020.6.29  – 告知漏洞仅影响Gist服务,不涉及GitHub Enterprise产品
2020.10.15 05:45:45 AEDT  Github官方奖励$10,000

参考来源:devcraft,编译整理:clouds,转载请注明来自Freebuf.com

来源:freebuf.com 2020-10-20 16:58:45 by: clouds

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论