腾讯云代金券

挖洞经验丨看我如何发现谷歌某生产系统中的LFI漏洞($13,337)-

本文分享的writeup是关于谷歌某生产系统的一个LFI漏洞,作者通过Redirect重定向组合构造方式发现了该漏洞,最终可以远程在目标服务器上实现本地系统命令运行,获取到系统敏感运行信息,最终获得了谷歌官方奖励的$13,337。 第一次尝试 尝试说明:springboard.

本文分享的writeup是关于谷歌某生产系统的一个LFI漏洞,作者通过Redirect重定向组合构造方式发现了该漏洞,最终可以远程在目标服务器上实现本地系统命令运行,获取到系统敏感运行信息,最终获得了谷歌官方奖励的$13,337。

第一次尝试

尝试说明:springboard.google.com系统上的身份验证绕过(Auth Bypass)

目标对象/URL:springboard.google.com/REDACTED_DIR

总结:访问/相关目录后,会发生页面重定向跳转,跳转后的页面中会显示一个“OnContent Debug for”调试窗口。

复现:

1.访问/,跳转到/cloudsearch/error?et=6,页面出现以下信息,提示只有内部工作人员才有权限执行应用服务:

2.再次访问springboard.google.com下的某个目录- /REDACTED_DIR,就会跳出“OnContent Debug for”调试窗口:

这算是内部信息泄露吗?几经测试没有新的发现,我就向谷歌上报了这个漏洞,但是,3天之后,谷歌给我的回复为:

更扯的是:一周之后,谷歌的回复如下:

第二次尝试

由于以上的发现无法达到谷歌的漏洞奖励标准,为此,我决定围绕“身份验证绕过(Auth Bypass)”再深入对这个漏洞进行一些分析,其中肯定还存在一些隐藏的目录链接。在Web应用暴破工具wfuzz的帮助下,我发现了很多有意思的东西,实现了从身份验证绕过到管理员权限的LFI。

尝试说明:springboard.google.com系统的LFI执行;

目标对象/ URL:

总结:实现了从身份验证绕过到名为“gxx-xxxx”管理员权限的LFI执行,springboard.google.com为谷歌的一个生产系统。

复现:

/REDACTED_DIR/ANOTHER_DIR下,存在某个服务 “Redacted status main” (FrameworkInfo)的运行状态信息,如下:

2.如果点击页面状态信息中的最后一个按键选项“Show REDACTED” ,你就会重定向到/REDACTED_DIR/ANOTHER_DIR?file=/proc/self/environ,其中的/proc/self/environ命令就会被加载,/proc/self/environ命令为显示出当前系统中的相关运行环境变量和配置属性,如下:

3.哇哦,这完全就是一个LFI漏洞啊!再来试试/proc/version看看:

此时,我屏住了呼吸,内心却兴奋不已,这是谷歌生产系统中具备管理员权限的LFI漏洞啊!另外,每次刷新/proc/self/environ命令后,得到的都会是不同的系统变量,从这可以看出,该域名下对应了多个服务器系统。

之后,我还努力想从LFI实现RCE,但无奈谷歌的安全防护还不错,我未能成功,另外,也无法从中读取一些类似/proc/*/fd、ssh keys、server keys等日志密钥信息。

漏洞上传的进程

*参考来源:omespino,clouds编译,转载请注明来自FreeBuf.COM



上一篇:FINS协议格式及功能码简介-腾讯云代金券优惠券 下一篇:安全从业者,该凭什么赢得你的尊严?-腾讯云代金券优惠券