大家好,我是印度一个电子工程专业大三学生和一名漏洞挖掘新手。最近,我发现了谷歌(Google)一个验证绕过漏洞,利用该漏洞可以直接访问到谷歌的Youtube 卫星直播和Youtube TV电视服务管理页面,最终,按照谷歌漏洞赏金计划(VRP),该漏洞获得了谷歌方面$13337美金的奖励。今天,我就来分享一下该漏洞的发现过程。
某天,在挖掘谷歌漏洞的过程中,我从公开的漏洞中发现了一些谷歌自身服务的IP地址,一开始,我真不知道这些IP地址能干嘛。
我就先检查了一遍这些IP地址,进一步发现其中包含了一些谷歌的内部IP。我突然想起来,最近,我的朋友KL SREERAM上报过一个谷歌内部IP相关的漏洞,另一个朋友Vishnu则上报过了一个利用谷歌子域名访问到控制面板的漏洞。目前,这两个漏洞都已被谷歌修复,这两个漏洞相关的内部IP地址也不能从互联网上访问到。
但是,现在,在我面前就有几个谷歌内部IP地址,我得想办法来看看能不能绕过限制实现访问。
正当我苦苦思索如何绕过谷歌安全限制时,我就想“能不能问问谷歌自己如何绕过它自己的限制呢?”,hahahaha,谷歌一下啊。于是,我就用谷歌搜索了大量“绕过谷歌IP限制的方法”,有一篇路径为/blog/forum/comments的文章中透露,我们得需要用Google Access Proxy,也就是谷歌自己的访问代理来实现这种做法,哎,这,作为个人怎么可能有这种代理啊,貌似很难。
于是,我就继续找啊找啊,这个时候我的房间突然就停电了,而我的笔记本电脑又没插电池,此时我的内心简直是一万只草泥马飞过。哎,我不会放弃的,我要继续找到实现方法!
那只有用手机来继续Google了,此时,因为我喜欢用Chrome,出于好奇,我就尝试在手机的谷歌浏览器Chrome中打开了其中一个IP,WTF,竟然出现了一个HTTP的登录页面,这简直是踏破铁鞋无觅处,得来全不费工夫。
在不输入登录凭据的情况下,我就直接点击页面上的LOGIN按钮看看,这一点可不得了,竟然又跳转到了一个包含很多按钮和选项的页面…..,一分钟后,我才反应过来,原来这是一个谷歌的产品管理页面。是的,我就这样处于谷歌的内网中了,我都还没完全缓过神来,就访问到了谷歌内部的产品管理页面了!
以下是Youtube的Youtube 卫星直播管理页面:
以下是YouTube TV电视服务管理页面:
过了一会,来电了,我就换作电脑来打开该IP地址,但是,却怎么也不行,完全打开不了刚刚手机上的登录页面。我有点晕了…..,为什么手机上可以,电脑上就不行呢?
哎,不管这么多了,我用手机以尽快的速度写了个POC提交给了谷歌安全团队。在5小时之后,我收到了谷歌方面的漏洞确认回应,他们还夸这是一个很棒的漏洞,我很是高兴啊,牛逼的谷歌在硅谷响应了我这个远在印度特里凡得琅的漏洞小白。
谷歌安全团队方面非常想知道,我是利用哪种IP或哪种代理作跳板访问到其内部管理系统的,但对此我是完全一头雾水的,所以我就想再接着深入分析研究一番。
2小时后,我找到了进入谷歌内部管理系统的原因。所有这一切的原因是由于手机Chrome浏览器扩展插件Data saver(流量节省程序)来帮我实现的,我手机上安装并启用了这个Data saver扩展。
谷歌于2015年为Chrome浏览器推出了相当实用的新扩展插件“Data Saver”,它的功能如名称一样,可以为用户节省浏览时的数据使用量,这款扩展使用了谷歌的数据压缩代理服务来为浏览器提供流量优化的页 面,从而实现简洁式浏览。移动版Chrome的这项功能是直接植入在浏览器中的,用户只需要在设置里开启Data Saver功能即可。
利用Data Saver插件对谷歌内部系统的整个的访问流程大致如下:
上图中间的代理即为Data Saver插件使用的“谷歌数据压缩代理服务”,也就是这个代理服务帮我的,同样,当我把笔记本电脑中的Chrome浏览器安装启用Data Saver插件之后,也就能实现对谷歌内部系统的访问了。所以问题就出在这儿了!也就是说,任何人只要在Chrome浏览器中安装启用Data Saver插件功能之后,都能实现对谷歌内网的访问了。
所以,我把这种原因分析向谷歌方面作了回应。很快在半小时之后,谷歌给了我回复。
利用该种技术,我还访问到了谷歌内部的一些直播管理和内部PCSC配置和其它类似的管理页面。在此我就不截图了。最终我获得了谷歌方面奖励的$13337美金,还进入了谷歌漏洞名人堂,谷歌方面还让我入围了2017年的Top Bughunter。大家有问题可以和我交流,这是我的博客 Vishnu Prasad P G。