蛛絲馬跡
某天,在挖掘谷歌漏洞的過程中,我從公開的漏洞中發現了一些谷歌自身服務的IP地址,一開始,我真不知道這些IP地址能干嘛。
我首先檢查了這些IP地址,然后進一步發現它們中間包括了一些谷歌內部IP。我突然想起來,最近,我的朋友KL SREERAM上報過一個谷歌內部IP相關的漏洞,另一個朋友Vishnu則上報過了一個利用谷歌子域名訪問到控制面板的漏洞。當前,這兩個漏洞已被谷歌修復,相關的內部IP地址也已無法從互聯網上訪問。
但是,現在,在我面前就有幾個谷歌內部IP地址,我得想辦法來看看能不能繞過限制實現訪問。
靈光閃現
正當我苦苦思索如何繞過谷歌安全限制時,我就想“能不能問問谷歌自己如何繞過它自己的限制呢?”,hahahaha,谷歌一下啊。于是,我就用谷歌搜索了大量“繞過谷歌IP限制的方法”,有一篇路徑為/blog/forum/comments的文章中透露,我們得需要用Google Access Proxy,也就是谷歌自己的訪問代理來實現這種做法,哎,這,作為個人怎么可能有這種代理啊,貌似很難。
于是,我就繼續找啊找啊,這個時候我的房間突然就停電了,而我的筆記本電腦又沒插電池,此時我的內心簡直是一萬只草泥馬飛過。哎,我不會放棄的,我要繼續找到實現方法!
那只有用手機來繼續Google了,此時,因為我喜歡用chrome,出于好奇,我就嘗試在手機的谷歌瀏覽器Chrome中打開了其中一個IP,WTF,竟然出現了一個http的登錄頁面,這簡直是踏破鐵鞋無覓處,得來全不費工夫。
在不輸入登錄憑據的情況下,我就直接點擊頁面上的LOGIN按鈕看看,這一點可不得了,竟然又跳轉到了一個包含很多按鈕和選項的頁面…..,一分鐘后,我才反應過來,原來這是一個谷歌的產品管理頁面。我處于谷歌內網中,還來不及恢復過來就訪問了谷歌內部的產品管理頁面!
以下是Youtube的Youtube 衛星直播管理頁面:
以下是YouTube TV電視服務管理頁面:
山重水復疑無路
過了一段時間,電話響了。我想用電腦打開該IP地址,但是無論如何都無法打開登錄頁面,與手機上的情況完全相同。我有點暈了…..,為什么手機上可以,電腦上就不行呢?
不管了,我用手機快速撰寫了一個POC并提交給了谷歌安全團隊。在5小時之后,我收到了谷歌方面的漏洞確認回應,他們還夸這是一個很棒的漏洞,我很是高興啊,牛逼的谷歌在硅谷響應了我這個遠在印度特里凡得瑯的漏洞小白。
谷歌安全團隊方面非常想知道,我是利用哪種IP或哪種代理作跳板訪問到其內部管理系統的,但對此我是完全一頭霧水的,所以我就想再接著深入分析研究一番。
柳暗花明又一村
2小時后,我找到了進入谷歌內部管理系統的原因。所有這一切的原因是由于手機Chrome瀏覽器擴展插件Data saver(流量節省程序)來幫我實現的,我手機上安裝并啟用了這個Data saver擴展。
谷歌于2015年為Chrome瀏覽器推出了相當實用的新擴展插件“Data Saver”,它的功能如名稱一樣,可以為用戶節省瀏覽時的數據使用量,這款擴展使用了谷歌的數據壓縮代理服務來為瀏覽器提供流量優化的頁 面,從而實現簡潔式瀏覽。移動版Chrome的這項功能是直接植入在瀏覽器中的,用戶只需要在設置里開啟Data Saver功能即可。
利用Data Saver插件對谷歌內部系統的整個的訪問流程大致如下:
上圖中間的代理即為Data Saver插件使用的“谷歌數據壓縮代理服務”,也就是這個代理服務幫我的,同樣,當我把筆記本電腦中的Chrome瀏覽器安裝啟用Data Saver插件之后,也就能實現對谷歌內部系統的訪問了。所以問題就出在這兒了!也就是說,任何人只要在Chrome瀏覽器中安裝啟用Data Saver插件功能之后,都能實現對谷歌內網的訪問了。
所以,我把這種原因分析向谷歌方面作了回應。很快在半小時之后,谷歌給了我回復。
漏洞獎勵
