挖洞經驗 | 價值1萬美金的谷歌內部主機信息泄露漏洞

文章講述了烏拉圭17歲高中生Ezequiel Pereira發現谷歌內部主機信息泄露漏洞的過程，該漏洞獲得了谷歌方面10000美金賞金，Ezequiel Pereira本人也因此進入

Google漏洞名人堂。

漏洞發現過程

7月11那天，我閑來無聊，所以就打算找找谷歌的漏洞。經過對谷歌不同應用服務介面的大量測試後，我發現，在向Google App Engine（GAE）服務.appspot.com發起請求的過程中，可以在其request中改變主機頭信息，間接指向訪問谷歌內部服務系統.googleplex.com的。為此，用Burp來進行一些直觀地操作和觀察：

Google App Engine：GAE，是一個開發託管網路應用程序的平台，可讓你在 Google 基礎架構上運行自己的網路應用程序。其應用程序易於構建和維護，並可根據你的訪問量和數據存儲需要的增長輕鬆擴展。使用 Google App Engine，將不再需要維護伺服器：只需上傳你自己的應用程序，便可立即生成和提供服務。

谷歌內部服務系統：https://googleplex.com或https://login.corp.google.com/，為谷歌內部員工作業服務系統。

在不斷變換的主機頭請求信息中，大部份都為無效，要麼返回404響應，要麼設置了谷歌內部人員賬戶認證。但只有一個內部系統網站yaqs.googleplex.com，不需任何安全驗證。

在對該內網請求的過程中，訪問其主頁會被重定向到/eng頁面下，該頁面非常有意思，包含了很多谷歌應用服務和網路架構的鏈接節點，但當我進一步訪問時，卻在頁腳處顯示了：」Google Confidential」（谷歌內部機密信息）字樣。

漏洞上報

到此，我停止了繼續瀏覽，立即向谷歌安全團隊上報了該問題。所以，也沒來得及對該問題進行一個直觀的驗證說明，按理來說，可以以下方式的PoC來作出描述：

在給谷歌的漏洞問題上報中，我簡單的說明了問題，以下為上報漏洞郵件大概：

漏洞概要：

從Google App Engine請求中獲得對谷歌機密網站的訪問權

重現步驟：

使用BurpSuite

1、在Repeater模塊下

2. 將目標主機設置為 「www.appspot.com「, 目標埠設置為」443」 ，勾選」Use HTTPS」 選項

3、寫入以下HTTP請求（結尾包括兩個空行）

GET /eng HTTP/1.1

Host: yaqs.googleplex.com

4、點擊發送」Go」

攻擊場景：

任何人可以訪問到谷歌內部名為YAQS，並標有「谷歌機密」的應用系統；

我不清楚網站的具體內容和用途，我僅只對其主機進行了訪問瀏覽，你們可以從服務訪問日誌進行核實（我的IP是x.x.x.x，來自烏拉圭）

漏洞證明：

Burp的請求信息截圖

幾個小時之後，谷歌安全團隊就進行了有效驗證，並給我回應：

中大獎

我暗自心想，這就是一件不值一提的小事而已，其網站中包含的東西可能也就是一些技術文檔資料的東西。但幾個星期後，也就在我學校放假期間，我收到了谷歌的郵件回復。郵件中說，經過谷歌漏洞賞金項目組評審，我上報的那個漏洞問題可以得到10000美金的賞金，還能進入漏洞名人堂！哇…..，此刻的心情就像中獎一樣！

該漏洞在於可以更改請求包中的主機頭請求信息，對谷歌內部網站發起請求，攻擊者可以藉此獲取谷歌的一些敏感數據，目前已被谷歌修復。

漏洞上報進程

7月11日, 10:13 AM     漏洞上報

7月11日, 02:44 PM     漏洞分類

7月11日, 04:46 PM    谷歌回復有效

8月4日,  12:55 PM     賞金回復

8月4日 , 05:07 PM     出於好奇，向谷歌方面詢問了漏洞危害，並徵求漏洞公開意見

8月5日,  05:37 AM     谷歌方面給予回復

*參考來源：site.google，freebuf小編clouds編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！