欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

利用Googleplex.com的盲XSS访问谷歌内网

 

众所周知,谷歌是一家非常庞大的科技公司,它依赖于数千家供应商来维持其运营。为了跟踪和支付这些供应商,谷歌提供了一个公共在线工具,供应商可以通过它将他们的发票上传到谷歌。

这就是被称为Google Invoice Submission Portal的谷歌票据提交系统,你可以在gist-uploadmyinvoice.appspot.com上找到。

1.png

你首先可能注意到的是网站被托管在appspot.com域上,该域多用于托管Google App Engine项目。

Google经常使用它来构建他们的一些网站,并最终将生产版本转移到google.com或其他某些域上。

在当前这种情况下,他们很可能忘记将appspot.com上托管的Invoice Upload网站发布到google.com上了。

上传发票

首先,它要求我们输入是采购订单编号。输入的内容并不重要,只需键入随机数并单击“搜索”按钮即可。

然后,是选择与发票相关的组织。这决定了处理发票的国家/地区。同样,我们只需随便选择一个并单击“提交”就行。

现在,我们可以看到一个文字表格要求供应商输入电子邮件信件、发票编号、日期、档案类型,然后以PDF格式上传实际发票。

2.png

漏洞发现

我尝试使用了各种XSS payload来填充这些文本字段,希望它们的发票仪表板中的某个位置没有正确地对输入进行转义,这会触发盲XSS并会向我发送通知。但实际情况并非我想的那么简单。我没有收到任何的内容,因此这说明它正确处理了文本字段。

除文本输入外,输入还可选择PDF文件。但其配置只允许选择上传PDF格式的文件。

3.png

但由于这只是一个前端的验证,因此它不会阻止我们在发送上传POST请求时更改文件的类型。

我们只需选择一个任意的PDF文件,就会触发上传请求。我们可以使用Web代理拦截请求,并将文件名和内容从.pdf更改为.html。

4.png

首先,我们将filename属性更改为test.html,将Content-Type更改为text/html,将body更改为XSS payload。

在payload中,我将使用一个<script>标记,其中src指向我域上的端点,每次加载时都会向我发送一封电子邮件。我当前使用的是ezXSS来记录这些盲XSS请求。

5.png

现在,HTML文件已附加到表单,我们可以单击Submit Invoices按钮发送表单。

执行盲 XSS

几天后,我收到了一条通知,告知我googleplex.com域上已执行了盲XSS。

Google使用googleplex.com托管内部网站和应用。如果你尝试访问该域,你将被重定向到Google Corp登录页面(也被称为MOMA登录页面)- 这需要身份验证(有效的google.com帐户)。这意味着只有Google员工才能访问它。

6.png

页面的DOM与替代PDF文件的XSS payload匹配。我们可以看到该URL用于显示PDF文件。但由于上传文件的Content-Type已从application/pdf被更改为了text/html,因此它显示的是XSS payload而不是PDF文件。

影响

在googleplex.com子域上执行自定义JavaScript代码,攻击者可以访问Google的发票以及其他一些敏感信息。

由于Google员工使用其公司帐户登录,因此应该可以代表他们访问其他内部网站。

更新:对于访问其他内部网站这里做个更正。我收到了来自Google安全小组的更多信息:

访问单个googleplex.com应用不会让你访问到任何其他应用

googleplex.com应用程序,它们彼此独立

并且凭据和cookie无法被盗或用于其他网站。

这意味着攻击者仍然可以访问处理发票的子域,但由于CORS,而无法访问googleplex.com上的其他应用程序。

漏洞修复

我已向Google发送了有关此漏洞的详细信息。四天后我收到了报告已被接受的更新。

7.png

大约一个月后,我确认它已被修复。

虽然在修复之后XSS仍然存在,但它不是在googleplex.com上,而是在storage.googleapis.com上 – 它充当沙箱域并且也用于存储上传的用户(也像googleusercontent.com一样) 内容。

XSS现位于沙箱域中,XSS不会对用户造成任何安全风险。

时间线

2019 02.21:报告了漏洞

2019 02.22:优先级被更改为P2

2019 02.22:添加了更多信息

2019 02.25:接受并将优先级改为P1

2019 03.06:发放奖励

2019 03.26:实施修复

2019 04.11:问题被标记为已修复

9999.jpg


暂无

您可能还会对下面的文章感兴趣: