挖洞經驗 | 價值1萬美金的谷歌內部主機信息泄露漏洞
文章講述了烏拉圭17歲高中生Ezequiel Pereira發現谷歌內部主機信息泄露漏洞的過程,該漏洞獲得了谷歌方面10000美金賞金,Ezequiel Pereira本人也因此進入
Google漏洞名人堂。
漏洞發現過程
7月11那天,我閑來無聊,所以就打算找找谷歌的漏洞。經過對谷歌不同應用服務介面的大量測試後,我發現,在向Google App Engine(GAE)服務.appspot.com發起請求的過程中,可以在其request中改變主機頭信息,間接指向訪問谷歌內部服務系統.googleplex.com的。為此,用Burp來進行一些直觀地操作和觀察:
Google App Engine:GAE,是一個開發託管網路應用程序的平台,可讓你在 Google 基礎架構上運行自己的網路應用程序。其應用程序易於構建和維護,並可根據你的訪問量和數據存儲需要的增長輕鬆擴展。使用 Google App Engine,將不再需要維護伺服器:只需上傳你自己的應用程序,便可立即生成和提供服務。
谷歌內部服務系統:https://googleplex.com或https://login.corp.google.com/,為谷歌內部員工作業服務系統。
在不斷變換的主機頭請求信息中,大部份都為無效,要麼返回404響應,要麼設置了谷歌內部人員賬戶認證。但只有一個內部系統網站yaqs.googleplex.com,不需任何安全驗證。
在對該內網請求的過程中,訪問其主頁會被重定向到/eng頁面下,該頁面非常有意思,包含了很多谷歌應用服務和網路架構的鏈接節點,但當我進一步訪問時,卻在頁腳處顯示了:」Google Confidential」(谷歌內部機密信息)字樣。
漏洞上報
到此,我停止了繼續瀏覽,立即向谷歌安全團隊上報了該問題。所以,也沒來得及對該問題進行一個直觀的驗證說明,按理來說,可以以下方式的PoC來作出描述:
在給谷歌的漏洞問題上報中,我簡單的說明了問題,以下為上報漏洞郵件大概:
漏洞概要:
從Google App Engine請求中獲得對谷歌機密網站的訪問權
重現步驟:
使用BurpSuite
1、在Repeater模塊下
2. 將目標主機設置為 「www.appspot.com「, 目標埠設置為」443」 ,勾選」Use HTTPS」 選項
3、寫入以下HTTP請求(結尾包括兩個空行)
GET /eng HTTP/1.1
Host: yaqs.googleplex.com
4、點擊發送」Go」
攻擊場景:
任何人可以訪問到谷歌內部名為YAQS,並標有「谷歌機密」的應用系統;
我不清楚網站的具體內容和用途,我僅只對其主機進行了訪問瀏覽,你們可以從服務訪問日誌進行核實(我的IP是x.x.x.x,來自烏拉圭)
漏洞證明:
Burp的請求信息截圖
幾個小時之後,谷歌安全團隊就進行了有效驗證,並給我回應:
中大獎
我暗自心想,這就是一件不值一提的小事而已,其網站中包含的東西可能也就是一些技術文檔資料的東西。但幾個星期後,也就在我學校放假期間,我收到了谷歌的郵件回復。郵件中說,經過谷歌漏洞賞金項目組評審,我上報的那個漏洞問題可以得到10000美金的賞金,還能進入漏洞名人堂!哇…..,此刻的心情就像中獎一樣!
該漏洞在於可以更改請求包中的主機頭請求信息,對谷歌內部網站發起請求,攻擊者可以藉此獲取谷歌的一些敏感數據,目前已被谷歌修復。
漏洞上報進程
7月11日, 10:13 AM 漏洞上報
7月11日, 02:44 PM 漏洞分類
7月11日, 04:46 PM 谷歌回復有效
8月4日, 12:55 PM 賞金回復
8月4日 , 05:07 PM 出於好奇,向谷歌方面詢問了漏洞危害,並徵求漏洞公開意見
8月5日, 05:37 AM 谷歌方面給予回復
*參考來源:site.google,freebuf小編clouds編譯,轉載請註明來自FreeBuf.COM
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※马斯克的人工智能才会让人类毁灭?那AI还是安全行业的未来吗?
※PhEmail:基於Python的開源網路釣魚測試工具
※揭秘比木馬挖礦還要「暴利」的網路偷竊行為
TAG:FreeBuf |
※谷歌旗下社交平台漏洞或導致50萬用戶信息泄露 遭美歐調查
※谷歌安全研究人員已經發現暴雪遊戲中的一個嚴重漏洞,使數百萬台電腦面臨風險
※挖洞經驗 | 用跨站搜索在谷歌問題跟蹤平台實現敏感信息獲取
※iOS源碼遭泄露 谷歌火狐擴展程序存漏洞或致用戶數據遭泄露
※工控系統SCADA漏洞數量2018上半年猛增|谷歌數百萬美元公開購買用戶離線交易數據|倫敦財政吃緊變賣資產補網路安全虧空
※谷歌雙因素驗證密鑰套裝公開發售 現價50美元
※谷歌陷入誠信危機!谷歌社交平台泄露五十五萬用戶信息!恐被訴!
※火絨安全周報:iOS源碼遭泄露 谷歌火狐擴展程序存漏洞或致用戶數據遭泄露
※烏拉圭少年發現谷歌安全漏洞 獲谷歌3.6萬美元獎勵
※谷歌公開披露Edge瀏覽器一安全漏洞
※谷歌修復50餘個安卓漏洞
※谷歌在美對 14 個州進行投資,新辦公室和數據中心遍布全美
※谷歌在美對14個州進行投資,新辦公室和數據中心遍布全美
※QQ 將實現註銷功能;谷歌發現蘋果 macOS 內核嚴重漏洞;特斯拉降價 34 萬惹怒中國車主
※谷歌專家團解讀2019年跨境出海商機,助力賣家收割購物高峰
※憑藉非凡天賦和不懈努力,22歲谷歌研究員發現最嚴重晶元漏洞
※谷歌系統再爆漏洞:3.6萬美元獎金被烏拉圭青年拿回家
※谷歌人工智慧在乳腺癌監測中獲得99%準確率
※谷歌11億美元收購HTC手機部門 谷歌手機或有新轉機?
※快訊 | 國內白帽子發現兩個安卓漏洞,獲得谷歌11.25萬美元的獎勵