Hacking go lucky:我们是怎么拿下谷歌产品服务器的

2014-05-20 +10 164532人围观 ,发现 19 个不明物体 WEB安全资讯

为了能够跟进最新的安全预警,我们经常花时间在漏洞悬赏和ctf比赛上面。 当我们讨论这周末要去搞些什么的时候,马蒂亚斯想到了一个有趣的思路:有什么目标可以被我们用来攻击他自己呢?

答案是谷歌搜索引擎。

对于扫描google的漏洞来说,什么能比谷歌搜索引擎更好呢。哪些东西最有可能成为突破口呢?

①旧的和已经不维护的软件
②未知的和难接近的软件
③只有少数人才有使用权限的专有软件
④软件的α/β版或者其他新技术(仍在测试阶段的软件)

对于赏金猎手来说,这有一个小技巧:

按照事件关联(跨站)的思路,我们开始使用google hacking技术检索google不重要的被收购的和使用较老操作系统的产品。

我们检索到了google的工具栏按钮库。我和小伙伴对视然后半开玩笑的说:“这看起来像有漏洞的样子”,但是我们当时并不知道我们的推测原来正中google的下怀

很快我们就发现这个按钮库提供给使用者使用新控件定制自己工具栏的功能。如果你是开发者,你还能通过上传包含控件外观等数据的xml文件创建自己的控件。

弗雷德里克通过对API规范的研究,制作出了一个包含xml攻击程序的按钮。这个计划是要触发XXE攻击,因为搜索按钮的时候,题目和字段会被输出。

XXE漏洞的根本原因在于本地xml解释器单纯的根据开发者提供的XML文档类型声明来解释xml文件。基于此,我们可以对xml解释器做一些恶意的利用。这些利用方式包括:本地文件访问,ssrf攻击,远程文件包含,拒绝服务攻击和可能执行远程代码。如果你想要知道如何应对这些问题,可以访问OWASP的关于如何在不同语言环境和平台保障xml解释器安全的文章。

尽管如此,我们的恶意文件还是上传了,请看这边。

第一次攻击:

第二次攻击(为了验证的目的)

新手写文大家凑活着看。

你在这里看到的是谷歌的产品服务器的/ etc / passwd/ etc / hosts我们的利用程序证明了我们入侵思路能引发的后果。我们也可以尝试获取google服务器上其他文件的访问权限,以及为了获取它的内部系统情况和数据进行ssrf攻击等尝试。最后我们想说的是,这个思路很棒但它的后果太糟糕了。

在庆祝挖到漏洞的同时,我们直接联系了google20分钟左右我们就收到了来自google安全团队的回复。他们对此很重视。我们后来又跟他们就漏洞细节进行了交流。在我们的交流中我们还问了这个漏洞值多少钱。

下面是他们的回复:

 

 

一个XXE能让你获得多少?

这些数据(或者其他因此而泄露出的东西),证明了这个价值1万美元,足以完成全欧洲自驾游了。

我们给谷歌的一个服务器上传了一个恶意的XML文件,结果发现了很大的一个 XXE漏洞。谷歌然后资助了我们团队灰常棒的欧洲自驾游经费。

感谢您的阅读。

小编寄语:

作者和他的好基友们(好吧不排除有妹纸的可能),在惬意的周末把用google自己产品攻击自己的想法实施,然后报告给google并因此赚到了欧洲自驾游的经费的故事告诉我们:一个好的思路,能够给我们的渗透提供很多灵感。聪明的你在实施渗透测试的时候有木有想过一些好玩的思路呢?

在我国,未经授权的渗透测试是违法的,所以各位freebufer们在实施渗透的过程中注意请先从被渗透方那里取得授权哦~~~~神马?你说联系对方公司的mm客服你很害羞?表怕,强大的Freebuf已经为大家想到了办法,详情请戳——Vulbox漏洞盒子平台

[原文地址]

发表评论

已有 18 条评论

取消
Loading...
css.php