利用Googleplex.com的盲XSS访问谷歌内网

2019 年 7 月 20 日 FreeBuf

众所周知,谷歌是一家非常庞大的科技公司,它依赖于数千家供应商来维持其运营。为了跟踪和支付这些供应商,谷歌提供了一个公共在线工具,供应商可以通过它将他们的发票上传到谷歌。

这就是被称为Google Invoice Submission Portal的谷歌票据提交系统,你可以在gist-uploadmyinvoice.appspot.com上找到。

你首先可能注意到的是网站被托管在appspot.com域上,该域多用于托管Google App Engine项目。

Google经常使用它来构建他们的一些网站,并最终将生产版本转移到google.com或其他某些域上。

在当前这种情况下,他们很可能忘记将appspot.com上托管的Invoice Upload网站发布到google.com上了。

上传发票

首先,它要求我们输入是采购订单编号。输入的内容并不重要,只需键入随机数并单击“搜索”按钮即可。

然后,是选择与发票相关的组织。这决定了处理发票的国家/地区。同样,我们只需随便选择一个并单击“提交”就行。

现在,我们可以看到一个文字表格要求供应商输入电子邮件信件、发票编号、日期、档案类型,然后以PDF格式上传实际发票。

漏洞发现

我尝试使用了各种XSS payload来填充这些文本字段,希望它们的发票仪表板中的某个位置没有正确地对输入进行转义,这会触发盲XSS并会向我发送通知。但实际情况并非我想的那么简单。我没有收到任何的内容,因此这说明它正确处理了文本字段。

除文本输入外,输入还可选择PDF文件。但其配置只允许选择上传PDF格式的文件。

但由于这只是一个前端的验证,因此它不会阻止我们在发送上传POST请求时更改文件的类型。

我们只需选择一个任意的PDF文件,就会触发上传请求。我们可以使用Web代理拦截请求,并将文件名和内容从.pdf更改为.html。

首先,我们将filename属性更改为test.html,将Content-Type更改为text/html,将body更改为XSS payload。

在payload中,我将使用一个script标记,其中src指向我域上的端点,每次加载时都会向我发送一封电子邮件。我当前使用的是ezXSS来记录这些盲XSS请求。

现在,HTML文件已附加到表单,我们可以单击Submit Invoices按钮发送表单。

执行盲 XSS

几天后,我收到了一条通知,告知我googleplex.com域上已执行了盲XSS。

Google使用googleplex.com托管内部网站和应用。如果你尝试访问该域,你将被重定向到Google Corp登录页面(也被称为MOMA登录页面)- 这需要身份验证(有效的google.com帐户)。这意味着只有Google员工才能访问它。

页面的DOM与替代PDF文件的XSS payload匹配。我们可以看到该URL用于显示PDF文件。但由于上传文件的Content-Type已从application/pdf被更改为了text/html,因此它显示的是XSS payload而不是PDF文件。

影响

在googleplex.com子域上执行自定义JavaScript代码,攻击者可以访问Google的发票以及其他一些敏感信息。

由于Google员工使用其公司帐户登录,因此应该可以代表他们访问其他内部网站。

更新:对于访问其他内部网站这里做个更正。我收到了来自Google安全小组的更多信息:

访问单个googleplex.com应用不会让你访问到任何其他应用

googleplex.com应用程序,它们彼此独立

并且凭据和cookie无法被盗或用于其他网站。

这意味着攻击者仍然可以访问处理发票的子域,但由于CORS,而无法访问googleplex.com上的其他应用程序。

漏洞修复

我已向Google发送了有关此漏洞的详细信息。四天后我收到了报告已被接受的更新。

大约一个月后,我确认它已被修复。

虽然在修复之后XSS仍然存在,但它不是在googleplex.com上,而是在storage.googleapis.com上 - 它充当沙箱域并且也用于存储上传的用户(也像googleusercontent.com一样) 内容。

XSS现位于沙箱域中,XSS不会对用户造成任何安全风险。

时间线

2019 02.21:报告了漏洞

2019 02.22:优先级被更改为P2

2019 02.22:添加了更多信息

2019 02.25:接受并将优先级改为P1

2019 03.06:发放奖励

2019 03.26:实施修复

2019 04.11:问题被标记为已修复

*参考来源:appio,FB小编secist编译,转载请注明来自FreeBuf.COM

精彩推荐


登录查看更多
0

相关内容

一家美国的跨国科技企业,致力于互联网搜索、云计算、广告技术等领域,由当时在斯坦福大学攻读理学博士的拉里·佩奇和谢尔盖·布林共同创建。创始之初,Google 官方的公司使命为「整合全球范围的信息,使人人皆可访问并从中受益」。 Google 开发并提供了大量基于互联网的产品与服务,其主要利润来自于 AdWords 等广告服务。

2004 年 8 月 19 日, 公司以「GOOG」为代码正式登陆纳斯达克交易所。
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
谷歌机器学习速成课程中文版pdf
专知会员服务
145+阅读 · 2019年12月4日
【机器学习课程】Google机器学习速成课程
专知会员服务
164+阅读 · 2019年12月2日
CALDERA 一款对手自动模拟工具
黑白之道
20+阅读 · 2019年9月17日
通过Docker安装谷歌足球游戏环境
CreateAMind
11+阅读 · 2019年7月7日
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
免费!Google Colab现已支持英伟达T4 GPU
新智元
5+阅读 · 2019年4月25日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
文本分析与可视化
Python程序员
9+阅读 · 2019年2月28日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
如何运用Python建一个聊天机器人?
七月在线实验室
17+阅读 · 2018年1月23日
Heterogeneous Graph Transformer
Arxiv
27+阅读 · 2020年3月3日
Arxiv
15+阅读 · 2020年2月6日
Semantics of Data Mining Services in Cloud Computing
Arxiv
4+阅读 · 2018年10月5日
VIP会员
相关资讯
CALDERA 一款对手自动模拟工具
黑白之道
20+阅读 · 2019年9月17日
通过Docker安装谷歌足球游戏环境
CreateAMind
11+阅读 · 2019年7月7日
ISeeYou一款强大的社工工具
黑白之道
30+阅读 · 2019年5月17日
免费!Google Colab现已支持英伟达T4 GPU
新智元
5+阅读 · 2019年4月25日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
文本分析与可视化
Python程序员
9+阅读 · 2019年2月28日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
如何运用Python建一个聊天机器人?
七月在线实验室
17+阅读 · 2018年1月23日
Top
微信扫码咨询专知VIP会员