详解我如何劫持 Google Docs 截屏并获得奖金

谷歌的多数产品中拥有一个名为 “Send Feedback” 的功能。如这个功能的名称所示，当用户遇到问题时，该功能有助于谷歌获得用户反馈。该功能还提供了一种选项，可为截屏附加一个简短的问题说明。

由于在多数谷歌站点中都是一个常见的功能，谷歌在 https://www.google.com 中部署了该功能，并且通过iFrame 集成到其它域名中。

我们假设使用 Google Docs (https://docs.google.com/document) 提交反馈的流程：首先，导航到 Help--> Send Feedback，之后你会看到一个 iFrame 弹出并魔术般地加载你正在处理的文档截屏。由于该 iframe 的来源 (www.google.com) 不同于 Google Docs (docs.google.com)，因此要成功地渲染该截屏，肯定存在某种跨来源通信方法。这时候，PostMessage 就派上用场了！工作流基本应该是：Google Docs 通过 postmessage  将每个像素的 RGB 值发送给主 iframe (www.google.com)中，之后将这些 RGB 值通过 postmessage 发送给它的 iframe (feedback.googleusercontent.com)，之后从那些像素中渲染图像并将 base64 编码的数据-URI 发送回主 iFrame。

该进程结束后，我们必须为该反馈写一个声明，并点击，将带有图像 (data-uri) 的说明通过 postmessage 发送给 https://www.google.com (提交 Feedback)。

理解了这个功能后，我最初的想法是从沙箱域名 feedbackgoogleusercontent.com 中找到一个 XSS。利用该 XSS，我可以劫持像素的 RGB 值，渲染该图像并窃取截屏。我之所以很确认我将发现一个 XSS，是因为它是一个沙箱域名。但事实并非如此。尝试数天之后，我向 S1r1us 求助。我们花了5天的时间尝试寻找 XSS，但均以失败告终，遂放弃。一周后，我发现了 fieldescriptor 发的视频。

观看视频后，我学到了一种新技术：你可以更改位于跨来源域名中 iFrame 的位置（前提是该域名缺乏 X-Frame-Header）。例如，如果 abc.com 将 efg.com 作为iframe 且 abc.com 并不拥有 X-Frame 标头，则我可以使用 frames.location 将 efg.com 更改为 evil.com 跨来源。

现在，我正在思考利用该行为的方法。如果我尝试将 feedback 功能中的这些 iframe 替换为我的域名会发生什么？它会将postmessage 发送给我吗？我决定尝试一下。我尝试用 geekycat.in 替换 feedback.googleusercontent.com 域名，但失败了。

虽然将数据发送给 feedback.googleusercontent.com，但发送的内容和下面的差不多：

因此，即使我更改了 iframe 的位置，由于 postmessage 配置中的匹配不当问题，数据也不会发送到我的域名中。绝望之下，我尝试将 (Submit Feedback www,google.com) iframe 更改到我的域名中，这次成功了！为什么？

关于提交反馈的最后一条 postmessage 的配置类似于 windowRef.postmessage (“<Data>”,”*”)；由于不存在域名检查，该浏览器愉快地将数据发送到我的域名，使我能够捕获并劫持该截屏。

且慢！我说过父域名不该具有 X-Frame 标头，但我是怎么实现的？幸运的是，Google Docs 并未设置该标头。是的！它仍然还未设置。在向谷歌提交点击劫持报告之前，会注意到站点部署着一些防止点击劫持的其它保护措施，在嵌入 iFrame 中时多数选项被禁用。

这种行为见如下 Liveoverflow 视频。

拼在一起，就是：

在将 setTimeout 设置为6秒后再调用该函数是为了提供 iFrame 加载的时间。另外一个问题是，只有在用户明确点击 “发送反馈“ 选项时才会创建该 iFrame。因此我们必须每隔100毫秒就更改一次 iFrame 的位置，即使它并不存在也是如此，以确保当该框架被创建时就会被劫持。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。