1.png

大家别慌,这是一篇很短的文章…文章虽短,但希望能给大家日常挖洞带来灵感或启发!

在今年一月份的某一天,作为一个非常喜欢搞事情的人,当时的我正在尝试寻找Google服务中可能存在的安全问题,如果能够找到满足Google漏洞奖励计划的漏洞,那我岂不是又要发财了?

在寻找漏洞的过程中我遇到了这个页面:https://login.corp.google.com。从表面上看,这个页面只不过是一个简单的登录页面而已,看起来这个页面貌似是给Google的员工自己准备的…

2.png

每当我访问这个页面时,该页面便会直接从https://static.corp.google.com载入一张新的图片。目前来看,是不是感觉一切都很正常呢?

下面是一张图片样本的URL地址:

https://static.corp.google.com/corpsso/images/PICT0004.jpg

好吧…在进行了一堆乱七八糟的尝试之后,我感觉剩下唯一能做的就是去尝试触发一些错误了,于是我访问了下面这个页面:

https://static.corp.google.com/corpsso/asd/

访问之后,浏览器便显示了一个Google 404页面给我,但这个页面有一个地方引起了我的注意:

3.png

老天保佑,我终于发现了些什么!接下来,让我们看一看这到底是个什么玩意儿。

大家可以看到上图中红圈圈画出的部分:“Re-run query with SFFE debug trace”。这个链接指向的是:

https://static.corp.google.com/corpsso/asd/?deb=trace

下图显示的是SSFE和XFE HTTP请求:

4.png

在404URL地址后面加上一个“?deb=trace”之后,我就可以访问到static.corp.google.com的内部调试信息了,这里我可以查看到完整的X-FrontEnd(XFE)Debug Trace以及其他各种信息。只不过我现在仍然不知道这个“SFFE”到底是个什么鬼,但看起来它像是Google后台用于处理Bigtable查询请求的某种请求处理引擎。(注:Bigtable是一款能够完成大规模分析及大型操作的高性能NoSQL数据库服务)如果你对Bigtable感兴趣的话,可以查看Google给出的这篇参考资料【传送门】。

我可以查看到SFFE请求头,但我没有从中发现任何有价值的东西…

5.png

在调试页面的另外一个部分中,我查看到了完整的Bigtable查询流,而正是我之前发出的请求触发了这些后台查询(出于某种原因,我这里需要打码,请各位见谅):

6.png

这些查询数据中包含表名以及不同Bigtables的路径地址,而正是我的请求让后台服务器返回了这些查询数据。此时,我已经可以访问到以下几种Google内部信息了:

-服务器(用于处理查询请求)的内部IP地址以及服务器的正常运行时间;

-服务器名称(服务器名称实际上是一个链接,这个链接无法通过外网访问,但它貌似指向的是GoogleBorg集群);

-SFFE请求和响应头;

-XFE HTTP请求

-复制Bigtable查询流;

-服务政策;

-等等等等…

这个页面不支持任何形式的用户交互,而且我现在还没有找到继续深入进去系统的方法,但我还是把这个问题上报给了Google,而这也是我第一次从Google那里得到漏洞奖金。

报告时间轴

2017年1月19日:初始报告

2017年1月20日:报告分类

2017年1月20日:漏洞确认

2017年2月10日:Google已经修复了这个漏洞,但他们似乎忘记告诉我了…

2017年2月19日:Google告诉我他们采用了一个临时的修复策略,并忘记给我发送报告了…

2017年3月10日:5000美金到手

2017年3月16日:Google永久修复了该问题

 

* 参考来源:slashcrypto, FB小编Alpha_h4ck编译