從簡單的 XSS 到完整的 Google Cloud Shell 例項接管,值5000美元
聚焦原始碼安全,網羅國內外最新資訊!
編譯:奇安信程式碼衛士團隊
本文說明的是以root身份接管Google Cloud Shell例項的漏洞獎勵計劃案例。
如下是復現步驟:
1、設定位於任意埠的 SSL 伺服器,我用的是埠55555 上的 ngrok + nc combo
2、訪問https://github.com/omespino/gcs_instace_takeover並在 Google Cloud Shell 中點選開啟
3、等待載入,點選 .md 檔案的預覽按鈕(在預覽前需要設定你自己的攻擊者伺服器)
4、獲得2個谷歌虛擬機器的檔案:‘/etc/hosts’和私鑰‘../id_cloudshell’(通過‘../’逃逸容器)
4.1:對於私鑰,將 \n 替換為跳轉行,並另存為“id_cloudshell”
4.2: 主機名是 cs-6000-devshell-vm-XXXXXXXX-XXXX-XXXXX-XXXXX”,我們刪除了 cs-6000 部分並新增字尾 .coudshell.dev,得到類似於這樣的內容:devshell-vm-XXXXXXXX-XXXX-XXXXX-XXXXX.cloudshell.dev。
5、在埠6000,以 root 身份登入 ssh
‘ssh -i id_cloudshell -p 6000 [email protected]‘
6、至此,你已成為谷歌 cloudshell 例項上的 r00t!
演示視訊
時間線
2020年2月6日:向谷歌漏洞獎勵計劃提交漏洞報告
2020年2月6日:收到谷歌關於漏洞得到分類的訊息
2020年2月14日:漏洞報告被接受
2020年2月20日:獲得5000美元的獎金
2020年3月18日:谷歌修復漏洞
推薦閱讀
立即修復!微軟史上最嚴重漏洞之一 Netlogon 細節被公開,三秒接管企業網路
Citrix 修復嚴重漏洞,可導致 XenMobile Server 遭接管
這個嚴重 0day 可導致79款 Netgear 路由器遭遠端接管,無補丁
原文連結
https://omespino.com/write-up-google-bug-bounty-xss-to-cloud-shell-instance-takeover-rce-as-root-5000-usd/
題圖:Pixabay License
本文由奇安信程式碼衛士編譯,不代表奇安信觀點。轉載請註明“轉自奇安信程式碼衛士 www.codesafe.cn”。
奇安信程式碼衛士 (codesafe)
國內首個專注於軟體開發安全的
產品線。
覺得不錯,就點個“在看” 吧~