redirect重定向中可以带参数吗_挖洞经验 | 利用开放重定向漏洞劫持GitHub Gist账户...

最新推荐文章于 2024-05-20 14:28:21 发布
最新推荐文章于 2024-05-20 14:28:21 发布
阅读量490 收藏
点赞数
文章标签: redirect重定向中可以带参数吗 url 重定向后origin为null vb 6.0 获取重定向的url 域名跳转劫持源码 检测到目标url存在http host头攻击漏洞

e9ccee9cfd36b291c223ee6e197c2c83.png近期,我针对GitHub做了一些安全测试,特别对其不同的CSRF token进行了绕过测试,在此过程中,我顺带研究了urls生成的各种方法函数,希望从中发现用来创建token的相关方法,最后发现了其中的一个开放重定向漏洞,利用该漏洞可以成功劫持GitHub Gist账户。漏洞收获了$10,000的奖励。

漏洞发现

在我测试的urls生成方法中,有一个名为url_for的方法,它通常被用来生成一些与控制器(controller)相关的链接。虽然从该方法中我没找到任何可绕过漏洞,但却发现了利用用户可控哈希(controllable hash)进行url_for方法调用的线索。一般来说,url_for方法调用需要把添加进额外参数的用户哈希附加到url后,作为一个查询字符串进行查询,但我通过阅读github说明文档发现,在该方法调用实现过程中,存在一些可控的选项参数:

:only_path - 如果为真true,即返回相应的URL,默认为假false;
:protocol - 即希望连接的协议方式,默认为’http’;
:host - 指定连接的特定主机,如果:only_path为false,该选项必须明确提供或显式提示,或通过default_url_options给出信息;
:subdomain - 指定连接的特定子域名,使用tld_length从host主机信息中分离出子域名。如果该项为false,则从连接的主机信息中删除所有子域名信息;
:domain - 指定连接的特定域名,使用tld_length从host主机信息中分离域名信息;
:tld_length - 组成顶级域名TLD id的标签数量,当:subdomain 或 :domain提供时有用,默认为ActionDispatch::Http::URL.tld_length,而该项值又默认为1;
:port - 指定可选的连接端口;
:anchor - 附加在路径后的属性anchor名称;
:params - 附加在路径后的请求参数;
:trailing_slash - 如果为true,则在末尾添加’/‘,如/archive/2009/;
:script_name - 相对于网站根目录的应用程序路径,如果有该选项,则附上应用程序路径。

由于此前我在其它一些应用中见过:protocol、:host选项,以及blacklisted/removed和 :only_path设置为true的实例,但从没见过:script_name选项的使用。貌似:script_name用在path_for方法中居多,且一般被放在路径path开头,如下path_for方法:

def path_for(options)    path = options[:script_name].to_s.chomp("/")    path << options[:path] if options.key?(:path)    add_trailing_slash(path) if options[:trailing_slash]    add_params(path, options[:params]) if options.key?(:params)    add_anchor(path, options[:anchor]) if options.key?(:anchor)    path    end

GitHub中有多个地方用类似以下的代码来创建相应链接:

class=    Click me</a>

也就是说,如果构造形如?script_name=javascript:alert(1)// 的请求字符串,将会生成如以html文件代码:

class=    Click me</a>

可以看出,如果点击’Click me’,将会触发一个反射型XSS,虽然可能会被CSP策略阻拦,但也算是一个有意思的漏洞。

另外我还发现了一个用可控参数调用url_for方法的地方,这一次它会形成一个重定向跳转。该处在应用程序控制器中的源码如下:

before_action :check_source  def check_source    source = params["source"]    return redirect_to(check_source_redirect_url) if source == "message"  end  def check_source_redirect_url    query = Addressable::URI.parse(request.env["REQUEST_URI"]).query_values || {}    filtered_params = query.except("source", "token").merge(only_path: true)    url_for(filtered_params)  end

由于其中使用了only_path: true,它通常只允许现有主机相关的URL,并且只保留查询参数,但使用script_name的技巧却会引发一些有意思结果。script_name选项不需要以斜线开头,且如果用到了redirect_to的话,script_name中的相关信息将会附加到host之后。最终的请求构造如下:

curl -i 'http://local.dev?source=message&script_name=ggg'HTTP/1.1 302 FoundX-Frame-Options: SAMEORIGINX-XSS-Protection: 1; mode=blockX-Content-Type-Options: nosniffX-Download-Options: noopenX-Permitted-Cross-Domain-Policies: noneReferrer-Policy: strict-origin-when-cross-originLocation: http://local.devggg/welcome/indexContent-Type: text/html; charset=utf-8Cache-Control: no-cacheX-Request-Id: 7c8eedfa-f552-4d5a-bbcd-295f4e7fd9c0X-Runtime: 0.002744Transfer-Encoding: chunkedYou are being "http://local.devggg/welcome/index">redirected.

由于最后的域名是可控的,所以如果script_name中用到了.attacker.domain,那将会发生到.attacker.domain的跳转,之后,我就直接把该问题以开放重定向漏洞上报了。

漏洞利用

第二天,我和朋友讨论过后,他建议我可以把开放重定向用到OAuth tokens上试试,看看会否产生影响。一番分析之后,我意识到这个开放重定向漏洞威力还是大的,它会影响几乎所有的Github控制器路径。

GitHub内置了一些集成的OAuth应用服务,其中就包含了Gist,GitHub Gist和GitHub共享同一个rails应用服务,只是暴露的主机名和路径不同而已。当登录Gist时,在进行OAuth机制的同时会发生以下一大堆的跳转:

1、https://github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9&redirect_uri=https://gist.github.com/auth/github/callback
2、https://gist.github.com/auth/github/callback?browser_session_id=XXX&code=YYY
3、https://gist.github.com/auth/github
4、https://github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9&redirect_uri=https%3A%2F%2Fgist.github.com%2Fauth%2Fgithub%2Fcallback&response_type=code&state=ZZZ
5、https://gist.github.com/auth/github/callback?browser_session_id=XXX&code=YYY&state=ZZZ
6、https://gist.github.com/

攻击者要成功登录Gist服务,只需要上述过程中的browser_session_id和code参数,由于client_id是公开的,因为这里只有CSRF防护,所以攻击者端在请求时即可生成state参数。

刚开始到redirect_uri 的跳转,可包含code和browser_session_id参数,所以我尝试在其中添加了形如script_name=.wbowling.info域名值,一试竟然有效了,可以成功携带相关请求参数跳转到.wbowling.info。

之后,我通过功能路径https://gist.github.com/auth/github/callback获取到了有效的state参数,然后,再综合前面的browser_session_id和code参数,成功登录了Gist服务,实现了账户劫持攻击。

由于GitHub 和 Gist使用的会话token不同,因此利用该漏洞不能对受害者的github.com服务造成影响,仅会对Gist服务形成访问控制威胁。

漏洞报送和处理进程

2020.6.26 00:33:38 AEST - 以开放重定向漏洞上报
2020.6.26 12:57:38 AEST - 继续测试发现Gist账户劫持漏洞并上报
2020.6.26 23:33:30 AEST - 漏洞分类
2020.6.29 - 告知漏洞仅影响Gist服务,不涉及GitHub Enterprise产品
2020.10.15 05:45:45 AEDT Github官方奖励$10,000

参考来源:devcraft

b062b9ac314c78db0b144908da1ae857.gif

精彩推荐

ffebb171cf04cd0b338572f15ee892b3.png 081accb4b9aefab8442250d1e33eb1b4.png ea1d8217b48ee772d06464c9aad7b227.png

8627740a59779195ffd921d20cb4bca0.png9a11aac4e8269eee932026b0240371b9.pngdcd7a481e1bb527cc0b100d043e22c50.png

f5fb0f6da4cd888e2825b0223cd286d9.gif

weixin_39602976
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
com.github.LuckSiege.PictureSelectorpicture_libraryv2.1.1'
03-16
com.github.LuckSiege.PictureSelectorpicture_libraryv2.1.1' com.github.LuckSiege.PictureSelectorpicture_libraryv2.1.1' com.github.LuckSiege.PictureSelectorpicture_libraryv2.1.1'
vue2 路由重定向 传参——redirect对象写法
Marin6的博客
03-01 1836
vue 项目重定向时需要传参数 1、在项目首页路由因需要进行传参数,例如需要重定向到:path: “/index?from=0” 2、重定向时写法如下: redirect: {path: ‘/index’,query: {from: ‘0’}} //之前默认redirect:’/xxxxx’ 直接跟路径,现在当成对象来写 页面router-link path&query传参跳转 ...
redirect重定向可以参数吗_Spring之跨重定向请求传递数据
weixin_39850599的博客
12-03 5898
摘要在开发场景,大部分数据都是使用请求转发(forward)进行传递,而使用重定向redirect)传递数据可能比较少。那么问题来了:请求的数据生命周期存活时间只在一个请求转发(request),当这个请求结束后,那么请求的数据也会随着这个请求一起拜拜了。而重定向会向服务器发起两个请求,所以第一个请求的数据不就到不了第二个请求了吗?如图:如果我们想传递的数据在第二个请求有效,那么怎...
dvwa靶场Open HTTP Redirect开放重定向漏洞)全难度教程(附代码分析)
m0_73248913的博客
05-20 602
本质是url转跳,叫url转跳漏洞也叫开放重定向漏洞,多用于钓鱼场景。重定向的类型:1.永久重定向状态码301和3082.临时重定向状态码302、303、3073.特殊重定向状态码300、304。
Spring MVCredirect重定向3种方式(参数
热门推荐
一勺菠萝丶的博客
12-06 10万+
Spring MVC做form表单功能提交时,防止用户客户端后退或者刷新时重复提交问题,需要在服务端进行重定向跳转,其redirect是直接跳转到其他页面,有以下3种方法进行重定向redirect重定向流程 客户发送一个请求到服务器,服务器匹配servlet,这都和请求转发一样,servlet处理完之后调用了sendRedirect()这个方法,这个方法是response的方法,所以,......
php302错误,关于php curl获取301或302转向的网址问题的解决方法
weixin_31064353的博客
03-10 809
关于php curl获取301或302转向的网址问题的解决方法,其实可以通过修改服务器的配置即可。在使用php的curl获取远程文件,代码如下:$ghurl = isset($_GET['id']) ? $_GET['id']:'http://www.baidu.com/';// php 获取function getContents($url){$header = array("Referer: ...
关于“高校现代教学管理系统漏洞”的攻击与防范
Angiexia的专栏
06-23 2681
前段时间在群里看到一哥们分享了一个“高校现代教学管理系统漏洞”,方法很简单,很快就能拿到webshell。 原理和fck差不多,也是利用上传功能。 ftb.imagegallery.aspx 这是一个具有上传功能的目录,添加在该网站域名后即可打开。 之后上传有可解析的asp马(需要解析改后缀,为安全起见就不公开了。)便可直接访问。 截图如下: 首先:搜索
github_java_flutter_github安卓开发_GitHubAppKey_github.comn_
09-30
在本项目,开发者使用了Flutter这一跨平台的UI框架来构建一个针对GitHub的安卓应用程序。Flutter是由Google推出的,旨在提供高性能、高效率的移动应用开发解决方案,支持iOS和Android平台。通过使用Dart编程语言,...
redirect:从clickwiki.net重定向到clickwiki.github.io
02-18
在本例,"redirect:从clickwiki.net重定向到clickwiki.github.io"意味着clickwiki.net的域名已经或者即将不再使用,取而代之的是clickwiki.github.io。这可能是出于各种原因,如品牌更新、网站迁移或服务整合等。...
ghpages-redirect.js:重定向 GitHub Pages 的所有请求以在 Google Chrome 使用 HTTPS
07-12
标题 "ghpages-redirect.js:重定向 GitHub Pages 的所有请求以在 Google Chrome 使用 HTTPS" 指涉的是一个 JavaScript 文件,它的主要功能是确保所有访问 GitHub Pages 的请求都被自动重定向到使用 HTTPS(安全超...
linux使用curl命令返回301 moved permanently
a932946893的博客
12-23 1万+
linux使用curl命令返回301 moved permanently 在nginx配置了前端项目踩坑。使用curl命令测试连通性,结果一直返回301 moved permanently。确认了配置无误后经查是由于页面经过nginx被重定向所以返回301,最后添加参数curl -L即可自动重定向指定页面,搞定。 ...
路由跳转遇到:Redirected when going from “/?redirect=%2FRegister“ to “/Register“ via a navigation guard.
qq_45228330的博客
04-07 1万+
路由跳转遇到:Redirected when going from “/?redirect=%2FRegister” to “/Register” via a navigation guard. 、在登录页面添加了个注册按钮,想实现跳转到注册页面的功能,但是老是报错Redirected when going from “/?redirect=%2FRegister” to “/Register” via a navigation guard.百度了一下,有说是版本太高的问题,有说别的,后来发现,其实是自己写
SRC挖掘---web开放重定向漏洞-2day
qq_62278422的博客
04-24 980
在本章,我们将学习开放重定向漏洞,不是很深入因为需要与其他漏洞结合起来使用,我们这里先做了解。 开放重定向漏洞使攻击者能够强制 Web 应用程序重定向攻击者选择的 URL 什么是开放重定向漏洞? 当 Web 应用程序接受不受信任的输入时,可能会发生未经验证的重定向和转发,这可能导致 Web 应用程序将请求重定向到包含在不受信任的输入URL。通过修改恶意站点的不受信任的 URL 输入,攻击者可能会成功发起网络钓鱼诈骗并窃取用户凭据。 一个示例 HTTP 请求可能如下所示: GET
php curl 防止采集,PHP CURL采集遇到301、302重定向无法采集解决方法 CURLOPT_FOLLOWLOCATION...
weixin_36479263的博客
03-09 940
最近在做一些采集的任务,PHP采集都很简单一般都是file_get_contents或者curl。这些都能进行采集数据,file_get_contents也是很常用的一种,不过现在做数据站的,一般都做了屏蔽手段,通过请求的客户端信息可以看到。这个时候CURL就要站出来了,因为CURL可以改变部信息,虽然file_get_contents也可以,不过还是CURL更可靠点,好比今天遇到的跳转问题。...
curl 301解决
weixin_30508241的博客
12-10 2429
问题描述: 使用curl get访问接口返回301跳转 无法访问数据。 解决: curl_setopt($handle, CURLOPT_FOLLOWLOCATION, 1); 转载于:https://www.cnblogs.com/fanhuo/p/10097239.html...
Djangoredirect跳转参数的路由
RogerFedereYY的博客
06-23 1637
需要使用到args参数 例如 路由是: url(r'^Lyzlibrary/(\d+)/(\d+)/$', views.Lyzlibrary, name='Lyzlibrary'), redirect跳转应该是: return redirect(reverse("library:Lyzlibrary",args=[0,0]))
通过开放重定向接管 GitHub Gist 账户,获奖$1万(GitHub $6.1万奖金系列之三)
smellycat000的专栏
12-02 210
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队在上篇文章,我们探讨了针对每种形式的 CSRF 令牌的绕过,当时我在研究可用于生成 url 的每种方法,试图找到可用于创建...
redirect重定向可以参数吗_一文理清 nginx 的 rewrite 配置(系列二)
weixin_39618806的博客
11-20 525
nginx 配置 系列文章(持续更新...)云鱼Cloudy:一文理清nginx的location配置​zhuanlan.zhihu.com前言nginx 通过 ngx_http_rewrite_module 模块支持 URI 重写、支持 if 条件判断,但不支持 else。rewrite 只能放在 server { } 、 location { } 、 if { } ,并且只能对域名后边的...
ql repo https://github.com/KingRan/KR.git "jd_|jx_|jdCookie" "activity|backUp" "^jd[^_]|USER|utils|function|sign|sendNotify|ql|magic|JDJR" 
最新发布
05-22
ql repo是一个基于青龙的轻量级、插件化的全功能开源脚本项目,它可以帮助用户实现京东、其他电商平台等的自动化任务。该项目可以通过青龙面板来管理脚本和任务,并提供了...这些参数可以帮助用户快速找到所需的脚本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值