背景介绍：

几个月前，白帽小哥Saajan Bhujel正在无聊的刷着 Twitter ，突然间，来自GitHub 的一条推文吸引了他的注意，Tweet 是关于 GitHub 的新功能，它提供了通过 MathJax 库在 Markdown 中显示数学表达式（TeX 和 LaTeX 样式语法）的功能。

什么是 MathJax？

MathJax 是适用于所有现代浏览器的 LaTeX、MathML 和 AsciiMath 表示法的开源 JavaScript 显示引擎，内置对屏幕阅读器等辅助技术的支持。

阅读完推文后，可以了解到“GitHub 现在正在使用 MathJax 库在 Markdown 文件中显示数学表达式”，于是，白帽小哥尝试的第一件事便是在 MathJax 库中查找以前或已知的漏洞，而他的专注点是寻找曾经爆出的 XSS 或 HTML 注入 CVE。

阅读推文后，我了解到，“GitHub 现在正在使用 MathJax 库在 Markdown 文件中显示数学表达式”。所以，我尝试的第一件事是在 MathJax 库中查找任何以前或已知的错误。主要是，我正在寻找任何以前的 XSS 或 HTML 注入 CVE。

很幸运，在 MathJax 库中发现了影响版本 < 2.7.4 的已知 XSS 漏洞，并且POC需要采用 Unicode 格式才能触发。

于是白帽小哥迅速地在测试存储库中创建了一个markdown文件，他在一个文件中输入了如下的payload：

Payload:- or , etc.$$\u003cuu003eHellou003c/uu003e{}$$$$\u003cuu003eWhyu003cuffofuu003e{}$$

但是，这其实并没起任何作用，而且，该漏洞“仅在版本 <2.7.4 时易受攻击，而 GitHub 使用的是较新的版本”。

因此，白帽小哥认为“必须自己找到一个绕过方法才能成功利用该攻击，并且如果能够以某种方式呈现基本的 HTML 标签，例如：.”。也许你可能会想知道为什么只是基本的 HTML 标签？要知道大多数时候网站都会使用 WAF、过滤器和限制器来防止使用高级标签，但它们对基本的HTML标签和普通标签的作用却不同。

第一种利用方式：

白帽小哥做的第一件事是“找到任何对使用数学表达式渲染基本标签非常有用的有趣行为”，为此，他尝试了不同类型的方法（如 Unicode、URL 编码等）。

终于功夫不负有心人，某个时候的标签会被渲染而没有任何错误或过滤”，POC是下面这样：

 $$ <u>HELLO</u> {}$$

于是白帽小哥很快使用其它高级标签(如<script>、<iframe>、 <style>)替换了这个标签，以了解“网站是否使用了更多的过滤器来防止高级标签的使用”，答案是肯定的，GitHub markdown文件使用了更多的过滤器...

然后在测试了这个 MathJax 集成之后，白帽小哥发现可以在（）之前使用反斜杠添加标签，因此，为了自定义 CSS，白帽小哥在他的文件中使用了以下POC：

<style>\<style>{property:value}</style>测试.md$$<style>*{display:none}</style>{}$$$$<style>div{background-color:#66f3e6}</style>{}$$$$<style>*{font-size:23px;}</style>{}$$$$<style>body{padding: 50px;background-color: #4b6bb7;}</style>{}$$

可以看到，现在我们可以更改整个页面的 CSS了。

白帽小哥迅速创建并提交了漏洞报告，但是，5 分钟内显示报告已被关闭，并说“这是一个先前发现的问题，正在内部跟踪”

白帽小哥提交的第一份漏洞报告就这样以‘撞洞’的形式而被关闭了...

第二种利用方式：

GitHub 在 24 小时内修复了该问题，于是白帽小哥想用他以前的方法和POC重新测试这个问题，同时，他发现“不再能够使用以前的方法和POC来使用高级标签了”。

但是他并没有气馁，而是设法找到了另一种呈现标签的新方法，但这一次，只能使用普通标签，例如：

<div> , <span>,</span><section> <span>,<input> , <label>, <button>

而不是

<style> and <script>

$$<div>Test</div>{}$$$$<input type=text>{}$$$$<button>Click Here</button>{}$$

我们可以使用<input>、<button>等标签在markdown中使用数学表达式。

尽管如此，白猫小哥并没有向GitHub报告这一问题，因为“除了使用受限标签外，没有看到任何安全影响”，因此，他尝试找到与上面类似的第一种方法，也许可以修改页面的CSS，但GitHub修复问题后，我们便不能再使用<style>标记了，因此，剩下的唯一选择就是使用style属性来修改CSS，但一个新的问题出现了，“GitHub限制了属性的使用”。

* NOTE * As we know that we can use “class”, “id” and a few more attributes in markdown(.md) files but not the “style” attribute because it may lead to a change in the CSS of the page.

但是，令人惊讶的是，我们只能在数学表达式使用“style”属性，如果不使用数学表达式，在markdown文件中使用“style”属性是不可能的。

Payload：

$$<tag style="property:value" acceptedAttribute="True"></tag>{}$$

因此，白帽小哥简单地创建了一个POC，可以使文件页面像登录页面一样：

$$<div style="position:fixed;padding:10%;padding-right:100%;left:-9%;top:-20%;background:white;padding-bottom:100%;"><section style="margin-left:500px;padding:30px;"><h2 style="text-align:center;">Sign in to GitHub</h2><div><label>Username: </label><input type=text style="border-radius:5px;border:1px solid;"><label>Password:  </label><input type=password style="border-radius:5px;border:1px solid;"><div style="text-align:center;"><button style="background:#2da44e;color:white;margin:10px;border-radius:9px;border:none;font-weight:500;padding:4px;padding-right:20px;padding-left:20px;" type=submit>Sign in</button></div></section></div></div><!--{}$$

白帽小哥在第一份漏洞报告的下方评论道：“我刚刚发现了一个可以再次更改整个页面的 CSS 的 Bypass，所以请告诉我，内部团队是否已解决了这个问题？如果问题已解决，那么我很高兴创建一个Bypass的新报告作为……”

很快 GitHub 的工作人员回复了如下声明，如下图中所见😁

第二天一觉醒来，小哥注意到 GitHub 团队再次修复了该问题，因为新的POC 不再能够触发😶，因此这也表明“他们是对的，他们确实在内部研究 MathJax”。

第三种利用方式：

尽管如此，这并没有阻止白帽小哥在 MathJax 功能中发现一些不寻常的东西。

小哥注意到在第二次修复之后，他无法使用之前的POC来渲染任何高级标签。

我们可以清楚地看到“在使用数学表达式中的任何标签之前都使用了反斜杠，例如：

\<tagName>{}

花了更多时间之后，小哥终于找到了一种新方法来渲染一些标签，例如使用：

$$<tagName>{}$$$${<tagName>}$$<input>,<svg>,<button>,<textarea>

Payload：

$$ <script>{<renderTag>}$$

这个有效Payload是如何工作的呢？

• 在反斜杠之后的第一个位置，标签会从Payload中被过滤掉恶意标签，例如

  
  

\<script><style>

• 我们要渲染的主要标签应该在大括号之间，大于号和小于号应采用 HTML 实体的形式：

{<renderTag>}

因此我们的最终Payload将如下所示：将过滤掉在花括号之前写入的或任何标记，并且Mathjax 将只渲染大括号中的标签。

$$<script>{&lt;renderTag&gt;}$$<script>

test.md 文件中使用了以下Payload：

$$<script>{&lt;div&gt;&lt;section&gt;&lt;h2&gt;Sign in to GitHub&lt;/h2&gt;&lt;label&gt;Username: &lt;/label&gt;&lt;input&gt;&lt;br&gt;&lt;label&gt;Password: &nbsp;&lt;/label&gt;&lt;input&gt;&lt;br&gt;&lt;button&gt;Sign in&lt;/button&gt;&lt;/section&gt;&lt;/div&gt;<!--}$$## Input tag:$$<script>{&lt;input&gt;<!--}$$## Button tag:$$<script>{&lt;button&gt;Test Button&lt;/button&gt;<!--}$$## Textarea tag:$$<script>{&lt;textarea&gt;Write something...&lt;/textarea&gt;<!--}$$

白帽小哥试图增加这个漏洞的影响性，但最终失败了。

因此，他将此漏洞报告给 GitHub ，并自评为低严重性，而这一次，GitHub 接受了中等严重性的问题，并联同 SWAG 和 GitHub Pro 支付了 10,000 美元的赏金。

漏洞时间线：

5 月 21 日 - 向 GitHub 提交第一份漏洞报告

5 月 21 日 - 报告因重复而关闭

5 月 24 日 - 再次报告了新的绕过问题

5 月 25 日 - 由 GitHub 分类报告

8 月 20 日 - GitHub 修复了这个漏洞

8 月 20 日 - GitHub 奖励10,000 美元赏金、一个 SWAG 和 GitHub Pro

====正文结束====

原文始发于微信公众号（骨哥说事）：【$10,000】绕过GitHub HTML标签过滤