64

挖洞经验丨看我如何发现谷歌某生产系统中的LFI漏洞($13,337)

 4 years ago
source link: https://www.tuicool.com/articles/jqIrYzf
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

auMrUrR.jpg!web 本文分享的writeup是关于谷歌某生产系统的一个LFI漏洞,作者通过Redirect重定向组合构造方式发现了该漏洞,最终可以远程在目标服务器上实现本地系统命令运行,获取到系统敏感运行信息,最终获得了谷歌官方奖励的$13,337。

第一次尝试

尝试说明:springboard.google.com系统上的身份验证绕过(Auth Bypass)

目标对象/URL:​springboard.google.com/REDACTED_DIR

总结:访问 https://springboard.google.com/ 相关目录后,会发生页面重定向跳转,跳转后的页面中会显示一个“OnContent Debug for”调试窗口。

复现:

1.访问 https://springboard.google.com/ ,跳转到 https://cloudsearch.google.com/cloudsearch/error?et=6 ,页面出现以下信息,提示只有内部工作人员才有权限执行应用服务:

vAjAZnA.jpg!web 2.之后,再次访问springboard.google.com下的某个目录- https://springboard.google.com/REDACTED_DIR ,就会跳出“OnContent Debug for”调试窗口:

u6VF3af.jpg!web 这算是内部信息泄露吗?几经测试没有新的发现,我就向谷歌上报了这个漏洞,但是,3天之后,谷歌给我的回复为:

初步看来,你的上报情况不算太严重以致可以分类为某种漏洞,但我们会尽快进行一些分析调查。

At first glance, this might not be severe enough to qualify for a reward, though the panel will take a look shortly.

更扯的是:一周之后,谷歌的回复如下:

根据我们的漏洞奖励项目来看,你上报的漏洞暂未达到奖励标准。

“As a part of our Vulnerability Reward Program, we decided that it does not meet the bar for a financial reward”

第二次尝试

由于以上的发现无法达到谷歌的漏洞奖励标准,为此,我决定围绕“身份验证绕过(Auth Bypass)”再深入对这个漏洞进行一些分析,其中肯定还存在一些隐藏的目录链接。在Web应用暴破工具wfuzz的帮助下,我发现了很多有意思的东西,实现了从身份验证绕过到管理员权限的LFI。

尝试说明: springboard.google.com系统的LFI执行;

目标对象/ URL:

springboard.google.com/REDACTED_DIR/ANOTHER_DIR

总结: 实现了从身份验证绕过到名为“gxx-xxxx”管理员权限的LFI执行,springboard.google.com为谷歌的一个生产系统。

复现:

1.在 https://springboard.google.com/REDACTED_DIR/ANOTHER_DIR 下,存在某个服务 “Redacted status main” (FrameworkInfo)的运行状态信息,如下:

i6vMrin.jpg!web 2.如果点击页面状态信息中的最后一个按键选项“Show REDACTED” ,你就会重定向到 https://springboard.google.com/REDACTED_DIR/ANOTHER_DIR?file=/proc/self/environ ,其中的/proc/self/environ命令就会被加载,/proc/self/environ命令为显示出当前系统中的相关运行环境变量和配置属性,如下:

6NRnmyI.jpg!web 3.哇哦,这完全就是一个LFI漏洞啊!再来试试/proc/version看看:

j2uM3ar.jpg!web 此时,我屏住了呼吸,内心却兴奋不已,这是谷歌生产系统中具备管理员权限的LFI漏洞啊!另外,每次刷新/proc/self/environ命令后,得到的都会是不同的系统变量,从这可以看出,该域名下对应了多个服务器系统。

之后,我还努力想从LFI实现RCE,但无奈谷歌的安全防护还不错,我未能成功,另外,也无法从中读取一些类似/proc/*/fd、ssh keys、server keys等日志密钥信息。

漏洞上传的进程

2019.3.22    向谷歌上报第一个身份验证绕过漏洞
2019.3.30    发现LFI漏洞并向谷歌上报
2019.4.04    谷歌回复称第一个漏洞未达奖励标准          
2019.4.17    我询问谷歌是否两个漏洞都未达到奖励标准
2019.4.23    谷歌回复称他们搞乱了 正在核定第二个LFI漏洞
2019.5.21    谷歌奖励了我$13,337美金

*参考来源: omespino ,clouds编译,转载请注明来自FreeBuf.COM


About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK