一次收获颇丰的Google漏洞挖掘旅程

news2024/11/16 4:22:23

本文由安全专家Henry N. Caga于2024年03月23日发表在InfoSecWrite-ups网站,本文记录了Henry N. Caga的一次漏洞挖掘过程,此次漏洞挖掘的成果得到了Google官方认可,拿到了4133.70美元的漏洞奖金,并让他成功进入了Google名人堂。本文旨在跟大家分享一名专业安全研究人员的漏洞挖掘心路历程,仅出于经验分享和教育目的撰写。

介绍

在网络安全领域中,寻找安全漏洞一直都是一项重要的任务。在我近期的一次安全研究过程中,我偶然发现了一个潜伏在Google子域名中的XSS(跨站脚本)漏洞,该漏洞不仅会成为威胁行为者的一个潜在入口点,而且更重要的是,它能够揭示网络安全实践的重要性,哪怕是Google这样的巨头亦是如此。这一个漏洞,使我进入了Google名人堂并获得了丰厚的漏洞奖励。

漏洞发现

作为一名网络安全爱好者,我经常会参加一些所谓的「有道德的黑客活动」,也就是处于善意去搜索目标系统中的安全漏洞,并帮助目标系统提升安全性。当时我正在随意浏览各大热门网站的子域名,并无意中发现了一个跟Google相关的不起眼的子域名和链接。

这个URL如下:



https://aihub.cloud.google.com/url?q=https://cidadesmineradoras.com.br


  



乍一看,我的直觉就告诉我这里肯定有问题。

**漏洞挖掘小Tip #1:**永远要相信你的直觉,如果URL看起来有问题,那估计就是有问题!

于是乎,我便尝试往这个URL中的q参数输入各种Payload来对其进行测试,但不幸的是,我并没有成功。测试了各种不同Payload无果之后,我便打算尝试我最喜欢的XSS Payload。

我使用的Payload如下:



https://aihub.cloud.google.com/url?q=https://cidadesmineradoras.com.br


  

![](https://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3iceicXm9rVWDtpiblKBvrAvnN9nC2DHARngRfHK9qbaskiaJw3joKCth2TOkjBr4AdHULdpqo0IbQUPA/640?wx_fmt=jpeg&from=appmsg)

  



为了让其正常工作,我需要对特殊字符进行URL编码,例如空格和括号等。

处理后的URL地址如下:



https://aihub.cloud.google.com/url?q=https://cidadesmineradoras.com.br%22%3E%3CSvG/onload=alert(document.domain)%20id=hncaga%3E


  



当然了,这个地址也是没有用的,因为我之前对这个目标URL的测试中已经使用过这个Payload了。

接下来我要做的就是对Payload中所有的字符进行URL编码,看看是否能够绕过目标站点的过滤器。

Payload进行URL编码后如下:



https://aihub.cloud.google.com/url?q=%68%6e%63%61%67%61%22%3e%3c%53%76%47%2f%6f%6e%6c%6f%61%64%3d%61%6c%65%72%74%28%64%6f%63%75%6d%65%6e%74%2e%64%6f%6d%61%69%6e%29%20%69%64%3d%68%6e%63%61%67%61%3e


  



我对编码后的Payload进行了测试后,发现仍然没起作用…

当我打算放弃这个URL时,突然脑子里有个东西一闪而过!

**漏洞挖掘小Tip #2:**永远不要轻言放弃!

在进行漏洞挖掘和Payload处理时,可能需要对Payload进行多次编码,而在很多情况下,这种多次编码的操作可能会给你带来意想不到的效果,所以我打算对已经编码过的Payload再次进行URL编码。

Payload两次URL编码后如下:



https://aihub.cloud.google.com/url?q=%25%36%38%25%36%65%25%36%33%25%36%31%25%36%37%25%36%31%25%32%32%25%33%65%25%33%63%25%35%33%25%37%36%25%34%37%25%32%66%25%36%66%25%36%65%25%36%63%25%36%66%25%36%31%25%36%34%25%33%64%25%36%31%25%36%63%25%36%35%25%37%32%25%37%34%25%32%38%25%36%34%25%36%66%25%36%33%25%37%35%25%36%64%25%36%35%25%36%65%25%37%34%25%32%65%25%36%34%25%36%66%25%36%64%25%36%31%25%36%39%25%36%65%25%32%39%25%32%30%25%36%39%25%36%34%25%33%64%25%36%38%25%36%65%25%36%33%25%36%31%25%36%37%25%36%31%25%33%65


  

然后我使用两次编码的Payload访问目标地址后,XSS弹窗成功(激动的快哭了!):

![](https://mmbiz.qpic.cn/mmbiz_jpg/qq5rfBadR3iceicXm9rVWDtpiblKBvrAvnNMcstfVN9gqlibibXmHxAVicjOf6ibzXZ9Gyib8WLSHceuU2l3wvXvMLJhUw/640?wx_fmt=jpeg&from=appmsg)

  



为了记录下整个过程,我还专门录屏了,视频中我使用了BurpSuite来捕捉XSS弹窗的整个过程:https://youtu.be/29hCunQoUS0。

接下来,我打算写一份漏洞报告并将其上报给Google安全团队。但是后来,我发现了一个严重的问题,即我的这个XSS Payload有的时候会失效。像我这种「偏执狂」肯定不允许这种事情发生,但我还是选择先上报漏洞。等了几个小时之后Google安全团队也给我回复了一封电子邮件,果然还是这个问题,因为他们无法使用我的这个XSS Payload复现漏洞:

**漏洞挖掘小Tip #3:**如果找到了一个漏洞,请一定要针对这个漏洞进行更深入的挖掘!

现在,我就需要深入分析一下这个漏洞了。我发现,这个漏洞要进行2-3次尝试后才能够被触发。我写了一个Bash脚本,并使用curl和Payload请求目标URL 5次,看看有多少请求能够反射XSS Payload:

在curl请求的5次响应中,有3次包含了Payload,这也表明5次请求能够触发3次漏洞,下图显示的是反射的Payload:

下面是我写的Bash脚本代码:

但是别着急,还没结束!我当时觉得已经可以把这些发现上报给Google安全团队了,但是仔细想了一下,还是不够稳妥,于是又分析了一下,我发现原来这里还有其他的XSS漏洞!

深入分析和调查后,我发现aihub.cloud.google.com下的所有URL,只要添加了q参数,都可以触发XSS漏洞。通过注入「&q=」和两次URL编码的Payload,就可以成功触发XSS漏洞。

为了验证我的发现,我重新爬取了aihub的所有URL,并将它们存储到一个名为「valid_aihub_urls.txt」的文本文件中。

然后修改我的Bash脚本,并迭代「valid_aihub_urls.txt」中的所有URL地址,并给每个URL发送5次curl请求以查看XSS漏洞触发情况。

下面是修改后的Bash脚本:

下列命令即可运行该脚本:



./google_poc_search_another_q.sh valid_aihub_urls.txt


  



你猜怎么着?文本文件中每一个有效的URL都能够触发XSS。我甚至还尝试去查询了不存在的目录,并在请求中继续添加了q参数,然而仍然能够触发XSS漏洞,简直是神奇!

漏洞报告和解决方案

发现了这个漏洞之后,我知道这个漏洞肯定要立即修复。我按照Google的漏洞披露实践准则,并再次将我发现的漏洞上报给了Google安全团队。整个过程中涉及到提交详细的漏洞文档、潜在的影响和漏洞复现步骤,同时我还提交了我写的Bash脚本。

最后,终于搞定了!

Google安全团队的处理非常及时,而且也很专业。他们对漏洞进行了检查,并验证了漏洞的真实性,然后将其处理优先级由P2改为了P1,安全等级由S4改成了S1,并对我的努力表示了感谢和认可:

几天之后,Google安全团队也对我的工作给出了奖励:

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

漏洞奖金总共为4133.70美元,其中漏洞奖励为3133.70美元,后面又追加了1000.00美元作为额外奖金。

我感觉瞬间达到了「人生巅峰」:

**漏洞挖掘小Tip #4:**提交的漏洞报告要尽可能地详实,最好能够提供自动化的工具或脚本帮助复现漏洞,这样你拿到的漏洞奖励才会多!

2024年3月15日,Google安全团队通过邮件告诉我,漏洞已成功修复,子域名也提升了安全保护,不过我再次检查这个地址时,发现返回了502错误:

他们表示aihub已经被启用了,从2024年1月起开始使用Vertex AI:


漏洞影响


这个漏洞的影响其实还是比较大的,作为Google的子域名,全球用户都会信任这个子域名是安全的,而这样的域名中存在安全漏洞,绝对是非常可怕的。而这个漏洞可能会带来下列安全风险:

1、会话劫持:通过执行脚本代码,威胁行为者可以劫持用户会话,获取目标账号未经授权的访问权,并窃取敏感信息;

2、网络钓鱼攻击:通过开发恶意脚本,威胁行为者能够利用存在漏洞的子域名轻松创建网络钓鱼页面,并欺骗用户输入他们的凭证或其他敏感信息;

3、恶意软件分发:威胁行为者可以使用恶意脚本将用户重定向到托管了恶意软件的网站,并在他们不知情的情况下感染目标设备;

4、数据窃取:该漏洞还可以用来窃取Cookie、令牌或其他身份认证数据,从而影响用户的隐私安全;

5、名誉受损:除了技术层面的影响之外,该漏洞还会影响Google的声誉;

总结

Google子域名中的这个漏洞也给我敲响了警钟,这个漏洞再一次强调了强有力的网络安全保护措施是多么的重要,即使是全球网络科技巨头,也会存在这样的安全风险。这些漏洞的影响远远超出了个人用户的范围,而且会影响到数字基础设施的核心部分。

我希望通过分享这一经验,能够提高人们对网络安全重要性的认识,并激发集体努力,建设一个更安全的网络世界。

*黑客&网络安全如何学习*

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1712935.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

秘钥托管技术简介

目录 前言 一、秘钥托管是什么? 二、秘钥托管技术简介 1. Skipjack算法 2. LEAF产生过程示意图 3. 对加密通信的法律实施存取过程 总结 前言 1993年4月,美国政府为了满足其电信安全、公众安全和国家安全,提出了托管加密标准EES (escro…

ADOP带你了解:800G 收发器的类型和应用

随着对快速数据传输的需求不断增加,800G收发器因其高带宽、快速传输速率、出色的性能、紧凑的设计和面向未来的兼容性等特性而引起了人们的极大兴趣。在本文中,我们旨在概述各种 800G 光模块,并深入研究它们的应用,以帮助您在选择…

卷积计算过程详解(含图示和代码)

什么是卷积? 卷积是一种数学运算,通过两个函数f和g生成第三个函数,其本质是一种特殊的积分变换,表征函数f与g经过翻转和平移的重叠部分函数值乘积对重叠长度的积分。卷积在泛函分析中扮演重要角色,可以被看作是“滑动平…

1.9.3 卷积神经网络中的瓶颈结构和沙漏结构提出的初衷是什么?可以应用于哪些问题?

chat瓶颈结构沙漏结构初衷瓶颈结构最初被引入用于深度卷积神经网络中,旨在通过减少中间特征图的通道数来降低计算复杂度,并在保持网络容量的同时减少参数量。这种设计能够在保持网络性能的前提下,提高计算效率和降低内存消耗。沙漏结构最初提…

从 ASCII 到 UTF-8 - Unicode 码的诞生与实现

前言:最近我在整理过往笔记时,发现涉及到了 UTF-8、Unicode 的相关内容,相信大家中的很多人和之前的我一样,在过去的很长一段时间里,并没有搞清楚什么是 Unicode、什么是 UTF-8,于是就有了这篇文章&#xf…

线下教育招生营销短信群发时这几点很重要

线下教育招生营销短信群发时,以下几点非常重要,可以帮助教育机构更有效地进行招生营销: 一、明确目标受众 1.确定目标学生群体:了解你的机构主要服务于哪个年龄段、需求和兴趣的学生,以便更有针对性地编写短信内容。…

LeetCode热题100 Day1——双指针

双指针 移动零11. 盛最多水的容器 移动零 思路: 双指针i,j,j指针遍历数组,i指针存放非0元素。遍历结束后,i指针及其后面的一定是0,就再将空出来的位置设置为0 移动零 class Solution {public void moveZeroes(int[] …

942. 增减字符串匹配 - 力扣

1. 题目 由范围 [0,n] 内所有整数组成的 n 1 个整数的排列序列可以表示为长度为 n 的字符串 s &#xff0c;其中: 如果 perm[i] < perm[i 1] &#xff0c;那么 s[i] I 如果 perm[i] > perm[i 1] &#xff0c;那么 s[i] D 给定一个字符串 s &#xff0c;重构排列 pe…

Linux搭建PHP下的RabbitMQ环境(php-amqp/rabbitmq-c/erlang)

本文演示环境 Red Hat 11.2.1-9gcc (GCC) 11.2.1 20220127OpenSSL v1.1.0PHP 7.1 安装erlang erlang和RabbitMQ有版本对应关系Erlang Version Requirements&#xff0c;需要选择正确的版本。 本文以erlang 26和RabbitMQ 3.13.2为例。 erlang下载地址 下载包上传服务器后&a…

Ubuntu20.04升级到22.04之后出现的问题

项目场景&#xff1a; 之前一致使用的是Ubuntu20.04&#xff0c;虽然丑了点&#xff0c;但是用着没什么问题&#xff0c;最近没能按捺住好奇心&#xff0c;升级到了22.04&#xff0c;升级后颜值有所提高&#xff0c;但是也带来了一些问题。 从20.04升级到22.04&#xff0c;起始…

Cobaltstrike渗透测试框架

Cobaltstrike简介 cobalt strike&#xff08;简称CS&#xff09;是一款团队作战渗透测试神器&#xff0c;分为客户端及服务端&#xff0c;一个服务端可以对应多个客户 端&#xff0c;一个客户端可以连接多个服务端&#xff0c;可被团队进行分布式协团操作. 和MSF关系 metas…

pdf只要其中一页 pdf只要第一页怎么办 pdf只要前几页怎么弄

在现代办公环境中&#xff0c;PDF文件已经成为我们日常工作中不可或缺的一部分。然而&#xff0c;有时我们可能只需要PDF文件中的某一页&#xff0c;而不是整个文件。这时&#xff0c;我们该如何操作才能只获取所需的那一页呢&#xff1f;本文将详细操作方法&#xff0c;帮助大…

【ai】livekit服务本地开发模式及example app信令交互详细流程

文档要安装git lfs 下载当前最新版本1.6.1 windows版本&#xff1a;启动dev模式 服务器启动 (.venv) PS D:\XTRANS\pythonProject\LIVEKIT> cd .\livekit_release\ (.venv) PS D:\XTRANS\pythonProject\LIVEKIT\livekit_release> lsDirectory: D:\XTRANS\pythonProject\L…

CATIA二次开发VBA入门(3)——vb语言基础,可视化编程基础,消息框等

目录 引出VBA与VB的关系和区别vb基础关于什么时候用set字符串函数数学&#xff1a;三角函数&#xff0c;不等于&#xff0c;随机数日期、脚本、空格数组 顺序、选择、循环可视化编程基础按钮文字输入框的输入窗口控件全局变量 vb基础进阶msgbox详解背景颜色按钮能否点击插入图片…

python-使用API

python-使用API 使用github的api-即url地址请求数据 https://api.github.com/search/repositories?qlanguage:python&sortstars #这个调用返回GitHub当前托管了多少个Python项目&#xff0c;还有有关最受欢迎的Python仓库的信息。在浏览器中输入上面地址可以看到该接口&…

C++第二十一弹---vector深度剖析及模拟实现(上)

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】【C详解】 目录 1、基本结构 2、默认成员函数 2.1、构造函数 2.2、析构函数 2.3、拷贝构造函数 2.3、赋值操作符重载 3、数据访问 4、迭代器获取 总结 …

Redis篇 String的基本命令

String基本命令 一.setnx,setex,psetex二. 增加删除命令三.append,setrange,getrange,strlen命令1.append2.setrange3.strlen4.getrange 四.String的内部编码方式 一.setnx,setex,psetex setex和psetex设置过期时间 setex设置的过期时间是秒级 psetex设置的过期时间是毫秒级 二…

【错误记录】HarmonyOS 运行报错 ( Failure[MSG_ERR_INSTALL_FAILED_VERIFY_APP_PKCS7_FAIL] )

文章目录 一、报错信息二、问题分析二、解决方案 一、报错信息 在 DevEco Studio 中 , 运行程序 , 编译时正常编译 , 但是在真机运行时 , 报如下错误 , 核心报错信息是 " Failure[MSG_ERR_INSTALL_FAILED_VERIFY_APP_PKCS7_FAIL] " ; 完整报错信息 : 05/29 10:58:55…

探索Django 5: 从零开始,打造你的第一个Web应用

今天我们将一起探索 Django 5&#xff0c;一个备受开发者喜爱的 Python Web 框架。我们会了解 Django 5 的简介&#xff0c;新特性&#xff0c;如何安装 Django&#xff0c;以及用 Django 编写一个简单的 “Hello, World” 网站。最后&#xff0c;我会推荐一本与 Django 5 相关…

工控一体机10.1寸显示器电容触摸屏(YA07JK)产品规格说明书

如果您对工控一体机有任何疑问或需求&#xff0c;或者对如何集成工控一体机到您的业务感兴趣&#xff0c;可移步控芯捷科技。 一、硬件功能介绍 1.1 YA07JK介绍 YA07JK 是我公司推出的一款新型安卓屏&#xff0c;使用电容触摸屏。4 核 Cortex-A7 架构&#xff0c;主频1.2GHz …