一次简单的html injection导致的Gmail 0day

这个漏洞在国庆前就已经发现，后来国庆回来发现google改版了，这个漏洞就被google意外修复了，就没有发布漏洞细节，但是最近发现google再次改版就又改回来了，正好我上次提到html injection（ http://www.loveshell.net/blog/blogview.asp?logID=246 ），而这个漏洞正好是个例子，于是就拿出来讨论下，顺便对html injection造成的影响也做下简单的介绍，看看这种Xss到底能做什么：）
google是大型的网络服务商，只要登陆一次，就可以在google提供的各种服务里处于登陆状态，他的认证信息是采用cookie的方式，并且为了方便还是其他原因，cookie并没有和浏览器或者ip绑定，cookie里保存了你的认证信息，我猜测起码包含着你的加密的密码和用户名等信息，并且即使你点击了退出，其实也只不过是google在你的浏览器里清除了cookie而已。以上这些对于黑客意味着只要你能得到一次认证的cookie，就可以永远利用这cookie作为你的密码访问你的google帐户。开始以为google这种把服务绑在一起的做法，意味着只要那么多服务有一个地方出现问题，那么整个都会受到影响，从程序上看就是只要google.com下一个域名存在xss之类的漏洞，就会波及到其他服务包括最为敏感的mail，但是经过测试之后发现事实上并不是那么简单。我们还是来分析下gmail的认证过程吧：

一 Google.com服务认证分析

xss和认证是分不开的，认证的方式可能决定了xss的利用方式，上次的分析觉得太马虎，甚至证明是错误的，这次来详细分析下gmail的登陆方式，为将来的exploit做好准备：）
正常登陆，进入首页，然后输入 http://mail.google.com/mail/ ，开始抓取请求，请求过程如下（cookie简单处理过）：

1 http://mail.google.com/mail/
2 https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&ltmpl=default&ltmplcache=2
3 http://mail.google.com/mail/?ui=html&zy=l&pli=1&auth=DQAAAHoAAABQSQc9YLJ0OVWvxie35DyUk2iMFY2kMgVggTzsPa0lF6wDXN9Te2B8Eterw3Pjh0ugXF5NdmuNowQHFQa9w42IaT7vj5Q_MS4wnrVlEl8qNA__13oQbLk6slnwRH7xE_g0dAHv6GTTLdnpH2Sz_944H50_kkiySYkJxbEwizrJfg&gausr=xssshell%40gmail.com
4 http://mail.google.com/mail/?auth=DQAAAHoAAABQSQc9YLJ0OVWvxie35DyUk2iMFY2kMgVggTzsPa0lF6wDXN9Te2B8Eterw3Pjh0ugXF5NdmuNowQHFQa9w42IaT7vj5Q_MS4wnrVlEl8qNA__13oQbLk6slnwRH7xE_g0dAHv6GTTLdnpH2Sz_944H50_kkiySYkJxbEwizrJfg&gausr=xssshell%40gmail.com&zx=15tl76j8t6fkm
上面几步完成gmail的登陆，是什么决定了你是否登陆呢？这些请求里面唯一可能变化的就是发送的cookie，而且我们知道google使用cookie认证，可能你一次登陆N天之后还是可以直接进服务的。分析上面的请求：

1 请求登陆mail
Cookie: __utmx=173272373.; __utmz=173272373.1193966736.8.2.utmccn=(referral)|utmcsr=google.cn|utmcct=/accounts/Logout2|utmcmd=referral; __utma=173272373.186433766.1188982067.1193907906.1193966736.8; __utmb=173272373; __utmc=173272373; PREF=ID=cc691da201a59bfd:LD=en:NW=1:CR=2:TM=1165197373:LM=1191830448:GM=1:IG=3:S=HnXNhPCFf7xdHLsL; adsenseReferralClickId=; adsenseReferralSourceId=; adsenseReferralSubId=; AccountsUserLocale=en; TZ=-480; GMAIL_RTT=360; SID=DQ-pH2NuR3Fe1uLZBWvm8Uu02Rz-yxpRW8EETkhatuj5c0_49VAEZhz2Bil4iTeYmIQgcFpmiA6yWXkStmOkb4L8Qk3nBBORh7WQ5DCb-BRpx28WYhF3RwE1gZaU98JlV52LgElsP8EgqFOAj-VCPvQ

2 转向 https:// 请求认证
Cookie: __utmz=173272373.1193966736.8.2.utmccn=(referral)|utmcsr=google.cn|utmcct=/accounts/Logout2|utmcmd=referral; __utma=173272373.186433766.1188982067.1193907906.1193966736.8; GoogleAccountsLocale_session=en; GALX=-9v3itptNkM; __utmx=173272373.; __utmb=173272373; __utmc=173272373; __utma=173272373.186433766.1188982067.1190878925.1191830423.5; __utmz=173272373.1191134563.4.2.utmccn=(referral)|utmcsr=google.com|utmcct=/|utmcmd=referral; LSID=ig.US|s.CN:DQAAAHoAAAAhRFp2nnIbqg0aVlV6Uqz2dUJGMuqjr5kTpx6EjooTMgko8_x0K0NeTKVLm_UwIfEcGC6sl5SUiw1zguXghgnIWisvJOHF_w4UqWVUF5DyWEI8g; GAUSR=xssshell@gmail.com; PREF=ID=cc691da201a59bfd:LD=en:NW=1:CR=2:TM=1165197373:LM=1191830448:GM=1:IG=3:S=HnXNhPCFf7xdHLsL; adsenseReferralClickId=; adsenseReferralSourceId=; adsenseReferralSubId=; AccountsUserLocale=en; TZ=-480; GMAIL_RTT=360; SID=DQAAAHYAAAB_DQ-pH2NuR3Fe1uLZBWvm8Uu02Rz-yxpRW8EETkhatuj5c0_49VAiAkby3kca96QSp4L8Qk3nBBORh7WQ5DCb-BRpx28WYhF3RwE1gZaU98JlV52LgElsP8EgqFOAj-VCPvQ

3 认证成功，返回到请求的服务
Cookie: __utmx=173272373.; __utmz=173272373.1193966736.8.2.utmccn=(referral)|utmcsr=google.cn|utmcct=/accounts/Logout2|utmcmd=referral; __utma=173272373.186433766.1188982067.1193907906.1193966736.8; __utmb=173272373; __utmc=173272373; PREF=ID=cc691da201a59bfd:LD=en:NW=1:CR=2:TM=1165197373:LM=1191830448:GM=1:IG=3:S=HnXNhPCFf7xdHLsL; adsenseReferralClickId=; adsenseReferralSourceId=; adsenseReferralSubId=; AccountsUserLocale=en; TZ=-480; GMAIL_RTT=360; SID=DQ-pH2NuR3Fe1uLZBWvm8Uu02Rz-yxpRW8EETkhatuj5c0_49VAEZhz2Bil4iTeYmIQgcFpmiA6yWXkStmOkb4L8Qk3nBBORh7WQ5DCb-BRpx28WYhF3RwE1gZaU98JlV52LgElsP8EgqFOAj-VCPvQ
注意，跟1的没多大区别，但是这个时候它有setcookie的内容，到后面一步就知道了

4 开始正常使用服务
Cookie: __utmx=173272373.; __utmz=173272373.1193966736.8.2.utmccn=(referral)|utmcsr=google.cn|utmcct=/accounts/Logout2|utmcmd=referral; __utma=173272373.186433766.1188982067.1193907906.1193966736.8; __utmb=173272373; __utmc=173272373; gmailchat=aaaaaaaa@gmail.com/807215; S=gmail=cfWQ6LE0MZbiJm25LDZxlg:gmail_yj=Z7vHwAIXkryktlbItejqXg:gmproxy=OPFmILmMa5U:gmproxy_yj=u-33CWWWIPU:gmproxy_yj_sub=9l7cuWTN924; GX=DQAAAHgAVTV8SGetElPbTPX1c7FbBKTFKok35WhihDnp72O29RMGF-OShTX8QWHmxvlSsf6rvujTywXjs-_NO_2YwL3mkkzlmUA1P-M4C-gp3Qv7N84c9TU4ONw; GMAIL_AT=2203afa7965c02d0-115fe01fa2f; GBE=bf-i; PREF=ID=cc691da201a59bfd:LD=en:NW=1:CR=2:TM=1165197373:LM=1191830448:GM=1:IG=3:S=HnXNhPCFf7xdHLsL; TZ=-480; GMAIL_RTT=360; SID=DQAAAHYAAAB_DQ-pH28Uu02Rz-yxpRW8EETkhatuj5c0_49VAEZhz2BanYHIEZv16yWXkStmOkby3kca96QSp4L8Qk3nBBORh7WQ5DCb-BRpx28WYhF3RwE1gZaU98JlV52LgElsP8EgqFOAj-VCPvQ; GMAIL_HELP=hosted:0

这个时候我们就需要非常地理解协议和cookie了，cookie包括domain和path，上面的第二步的时候，我们送过去的cookie是 https://www.google.com/ 下面的cookie，这个cookie对于 http://www.google.com 是完全不可见的，用这个cookie认证完之后，认证服务器就产生一个auth并且在url里转到 http://mail.google.com ，然后 http://mail.google.com 利用这个auth来生成cookie，当然，google是设置了路径的，就是在/mail/下面，一般的路径下是取不到的。

到这里，我们有理由很悲观了，是的，想利用xss进入gmail的话，只有几个点可以切入：

1 在https的服务器上xss，取得到认证的cookie，这个时候你可以利用窃取的cookie进入任何服务。
2 在 http://www.google.com/mail/ 或者 http://mail.google.com/mail/ 下面进行xss，直接取得mail的认证信息，这个不影响其他服务。

[1] [2] 下一页