挖洞经验 | 价值1万美金的谷歌内部主机信息泄露漏洞

2017 年 8 月 17 日 FreeBuf clouds

文章讲述了乌拉圭17岁高中生Ezequiel Pereira发现谷歌内部主机信息泄露漏洞的过程,该漏洞获得了谷歌方面10000美金赏金,Ezequiel Pereira本人也因此进入Google漏洞名人堂。

漏洞发现过程

7月11那天,我闲来无聊,所以就打算找找谷歌的漏洞。经过对谷歌不同应用服务接口的大量测试后,我发现,在向Google App Engine(GAE)服务.appspot.com发起请求的过程中,可以在其request中改变主机头信息,间接指向访问谷歌内部服务系统.googleplex.com的。为此,用Burp来进行一些直观地操作和观察:

Google App Engine:GAE,是一个开发托管网络应用程序的平台,可让你在 Google 基础架构上运行自己的网络应用程序。其应用程序易于构建和维护,并可根据你的访问量和数据存储需要的增长轻松扩展。使用 Google App Engine,将不再需要维护服务器:只需上传你自己的应用程序,便可立即生成和提供服务。

谷歌内部服务系统:https://googleplex.com或https://login.corp.google.com/,为谷歌内部员工作业服务系统。

在不断变换的主机头请求信息中,大部份都为无效,要么返回404响应,要么设置了谷歌内部人员账户认证。但只有一个内部系统网站yaqs.googleplex.com,不需任何安全验证。

在对该内网请求的过程中,访问其主页会被重定向到/eng页面下,该页面非常有意思,包含了很多谷歌应用服务和网络架构的链接节点,但当我进一步访问时,却在页脚处显示了:”Google Confidential”(谷歌内部机密信息)字样。

漏洞上报

到此,我停止了继续浏览,立即向谷歌安全团队上报了该问题。所以,也没来得及对该问题进行一个直观的验证说明,按理来说,可以以下方式的PoC来作出描述:

在给谷歌的漏洞问题上报中,我简单的说明了问题,以下为上报漏洞邮件大概:

漏洞概要:

从Google App Engine请求中获得对谷歌机密网站的访问权

重现步骤:

使用BurpSuite

1、在Repeater模块下

2. 将目标主机设置为 “www.appspot.com“, 目标端口设置为”443” ,勾选”Use HTTPS” 选项

3、写入以下HTTP请求(结尾包括两个空行)

GET /eng HTTP/1.1

Host: yaqs.googleplex.com

4、点击发送”Go”

攻击场景:

任何人可以访问到谷歌内部名为YAQS,并标有“谷歌机密”的应用系统;

我不清楚网站的具体内容和用途,我仅只对其主机进行了访问浏览,你们可以从服务访问日志进行核实(我的IP是x.x.x.x,来自乌拉圭)

漏洞证明:

Burp的请求信息截图

几个小时之后,谷歌安全团队就进行了有效验证,并给我回应:

中大奖

我暗自心想,这就是一件不值一提的小事而已,其网站中包含的东西可能也就是一些技术文档资料的东西。但几个星期后,也就在我学校放假期间,我收到了谷歌的邮件回复。邮件中说,经过谷歌漏洞赏金项目组评审,我上报的那个漏洞问题可以得到10000美金的赏金,还能进入漏洞名人堂!哇…..,此刻的心情就像中奖一样!

该漏洞在于可以更改请求包中的主机头请求信息,对谷歌内部网站发起请求,攻击者可以藉此获取谷歌的一些敏感数据,目前已被谷歌修复。

漏洞上报进程

7月11日, 10:13 AM     漏洞上报

7月11日, 02:44 PM     漏洞分类

7月11日, 04:46 PM    谷歌回复有效

8月4日,  12:55 PM     赏金回复

8月4日 , 05:07 PM     出于好奇,向谷歌方面询问了漏洞危害,并征求漏洞公开意见

8月5日,  05:37 AM     谷歌方面给予回复

*参考来源:site.google,freebuf小编clouds编译,转载请注明来自FreeBuf.COM

登录查看更多
0

相关内容

Google App Engine 是一个开发、托管网络应用程序的云计算平台,使用 Google 管理的数据中心。
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【浙江大学】人脸反欺诈活体检测综述
专知会员服务
31+阅读 · 2020年4月15日
新时期我国信息技术产业的发展
专知会员服务
70+阅读 · 2020年1月18日
专知会员服务
51+阅读 · 2020年1月13日
AAAI2020接受论文列表,1591篇论文目录全集
专知会员服务
98+阅读 · 2020年1月12日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
Arxiv
6+阅读 · 2020年2月15日
Mesh R-CNN
Arxiv
4+阅读 · 2019年6月6日
Music Transformer
Arxiv
5+阅读 · 2018年12月12日
Arxiv
19+阅读 · 2018年5月17日
Arxiv
3+阅读 · 2017年12月18日
Arxiv
5+阅读 · 2015年9月14日
VIP会员
相关VIP内容
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【浙江大学】人脸反欺诈活体检测综述
专知会员服务
31+阅读 · 2020年4月15日
新时期我国信息技术产业的发展
专知会员服务
70+阅读 · 2020年1月18日
专知会员服务
51+阅读 · 2020年1月13日
AAAI2020接受论文列表,1591篇论文目录全集
专知会员服务
98+阅读 · 2020年1月12日
相关资讯
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
去哪儿网开源DNS管理系统OpenDnsdb
运维帮
21+阅读 · 2019年1月22日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
一个人的企业安全建设之路
FreeBuf
5+阅读 · 2017年7月7日
你见过马化腾17年前写的代码吗?
互联网it观察
5+阅读 · 2017年7月3日
相关论文
Arxiv
6+阅读 · 2020年2月15日
Mesh R-CNN
Arxiv
4+阅读 · 2019年6月6日
Music Transformer
Arxiv
5+阅读 · 2018年12月12日
Arxiv
19+阅读 · 2018年5月17日
Arxiv
3+阅读 · 2017年12月18日
Arxiv
5+阅读 · 2015年9月14日
Top
微信扫码咨询专知VIP会员