近期，我针对GitHub做了一些安全测试，特别对其不同的CSRF token进行了绕过测试，在此过程中，我顺带研究了urls生成的各种方法函数，希望从中发现用来创建token的相关方法，最后发现了其中的一个开放重定向漏洞，利用该漏洞可以成功劫持GitHub Gist账户。漏洞收获了$10,000的奖励。

漏洞发现

在我测试的urls生成方法中，有一个名为url_for的方法，它通常被用来生成一些与控制器（controller）相关的链接。虽然从该方法中我没找到任何可绕过漏洞，但却发现了利用用户可控哈希（controllable hash）进行url_for方法调用的线索。一般来说，url_for方法调用需要把添加进额外参数的用户哈希附加到url后，作为一个查询字符串进行查询，但我通过阅读github说明文档发现，在该方法调用实现过程中，存在一些可控的选项参数：

:only_path - 如果为真true，即返回相应的URL，默认为假false；
:protocol - 即希望连接的协议方式，默认为'http'；
:host - 指定连接的特定主机，如果:only_path为false，该选项必须明确提供或显式提示，或通过default_url_options给出信息；
:subdomain - 指定连接的特定子域名，使用tld_length从host主机信息中分离出子域名。如果该项为false，则从连接的主机信息中删除所有子域名信息；
:domain - 指定连接的特定域名，使用tld_length从host主机信息中分离域名信息；
:tld_length - 组成顶级域名TLD id的标签数量，当:subdomain 或 :domain提供时有用，默认为ActionDispatch::Http::URL.tld_length，而该项值又默认为1；
:port - 指定可选的连接端口；
:anchor - 附加在路径后的属性anchor名称；
:params - 附加在路径后的请求参数；
:trailing_slash - 如果为true，则在末尾添加'/'，如/archive/2009/；
:script_name - 相对于网站根目录的应用程序路径，如果有该选项，则附上应用程序路径。

由于此前我在其它一些应用中见过:protocol、:host选项，以及blacklisted/removed和 :only_path设置为true的实例，但从没见过:script_name选项的使用。貌似:script_name用在path_for方法中居多，且一般被放在路径path开头，如下path_for方法：

def path_for(options)
    path = options[:script_name].to_s.chomp("/")
    path << options[:path] if options.key?(:path)

    add_trailing_slash(path) if options[:trailing_slash]
    add_params(path, options[:params]) if options.key?(:params)
    add_anchor(path, options[:anchor]) if options.key?(:anchor)

    path
end

GitHub中有多个地方用类似以下的代码来创建相应链接：

<a class="link" href="<%= url_for(request.query_parameters.merge(only_path: true)) %>">
    Click me
</a>

也就是说，如果构造形如?script_name=javascript:alert(1)// 的请求字符串，将会生成如以html文件代码：

<a class="link" href="javascript:alert(1)//user/repo/...">
    Click me
</a>

可以看出，如果点击'Click me'，将会触发一个反射型XSS，虽然可能会被CSP策略阻拦，但也算是一个有意思的漏洞。

另外我还发现了一个用可控参数调用url_for方法的地方，这一次它会形成一个重定向跳转。该处在应用程序控制器中的源码如下：

before_action :check_source

  def check_source
    source = params["source"]
    return redirect_to(check_source_redirect_url) if source == "message"
  end

  def check_source_redirect_url
    query = Addressable::URI.parse(request.env["REQUEST_URI"]).query_values || {}
    filtered_params = query.except("source", "token").merge(only_path: true)
    url_for(filtered_params)
  end

由于其中使用了only_path: true，它通常只允许现有主机相关的URL，并且只保留查询参数，但使用script_name的技巧却会引发一些有意思结果。script_name选项不需要以斜线开头，且如果用到了redirect_to的话，script_name中的相关信息将会附加到host之后。最终的请求构造如下：

curl -i 'http://local.dev?source=message&script_name=ggg'
HTTP/1.1 302 Found
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
X-Download-Options: noopen
X-Permitted-Cross-Domain-Policies: none
Referrer-Policy: strict-origin-when-cross-origin
Location: http://local.devggg/welcome/index
Content-Type: text/html; charset=utf-8
Cache-Control: no-cache
X-Request-Id: 7c8eedfa-f552-4d5a-bbcd-295f4e7fd9c0
X-Runtime: 0.002744
Transfer-Encoding: chunked

<html><body>You are being <a href="http://local.devggg/welcome/index">redirected</a>.</body></html>

由于最后的域名是可控的，所以如果script_name中用到了.attacker.domain，那将会发生到.attacker.domain的跳转，之后，我就直接把该问题以开放重定向漏洞上报了。

漏洞利用

第二天，我和朋友讨论过后，他建议我可以把开放重定向用到OAuth tokens上试试，看看会否产生影响。一番分析之后，我意识到这个开放重定向漏洞威力还是大的，它会影响几乎所有的Github控制器路径。

GitHub内置了一些集成的OAuth应用服务，其中就包含了Gist，GitHub Gist和GitHub共享同一个rails应用服务，只是暴露的主机名和路径不同而已。当登录Gist时，在进行OAuth机制的同时会发生以下一大堆的跳转：

1、https://github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9&redirect_uri=https://gist.github.com/auth/github/callback
2、https://gist.github.com/auth/github/callback?browser_session_id=XXX&code=YYY
3、https://gist.github.com/auth/github
4、https://github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9&redirect_uri=https%3A%2F%2Fgist.github.com%2Fauth%2Fgithub%2Fcallback&response_type=code&state=ZZZ
5、https://gist.github.com/auth/github/callback?browser_session_id=XXX&code=YYY&state=ZZZ
6、https://gist.github.com/

攻击者要成功登录Gist服务，只需要上述过程中的browser_session_id和code参数，由于client_id是公开的，因为这里只有CSRF防护，所以攻击者端在请求时即可生成state参数。

刚开始到redirect_uri 的跳转，可包含code和browser_session_id参数，所以我尝试在其中添加了形如script_name=.wbowling.info域名值，一试竟然有效了，可以成功携带相关请求参数跳转到.wbowling.info。

之后，我通过功能路径https://gist.github.com/auth/github/callback获取到了有效的state参数，然后，再综合前面的browser_session_id和code参数，成功登录了Gist服务，实现了账户劫持攻击。

由于GitHub 和 Gist使用的会话token不同，因此利用该漏洞不能对受害者的github.com服务造成影响，仅会对Gist服务形成访问控制威胁。

漏洞报送和处理进程

2020.6.26 00:33:38 AEST - 以开放重定向漏洞上报
2020.6.26 12:57:38 AEST - 继续测试发现Gist账户劫持漏洞并上报
2020.6.26 23:33:30 AEST - 漏洞分类
2020.6.29  - 告知漏洞仅影响Gist服务，不涉及GitHub Enterprise产品
2020.10.15 05:45:45 AEDT  Github官方奖励$10,000

参考来源：devcraft，编译整理：clouds，转载请注明来自Freebuf.com