从简单的 XSS 到完整的 Google Cloud Shell 实例接管,值5000美元
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本文说明的是以root 身份接管Google Cloud Shell 实例的漏洞奖励计划案例。
如下是复现步骤:
1、设置位于任意端口的 SSL 服务器,我用的是端口55555 上的 ngrok + nc combo
2、访问 https://github.com/omespino/gcs_instace_takeover 并在 Google Cloud Shell 中点击打开
3、等待加载,点击 .md 文件的预览按钮(在预览前需要设置你自己的攻击者服务器)
4、获得2个谷歌虚拟机的文件:‘/etc/hosts’和私钥‘../id_cloudshell’(通过‘../’逃逸容器)
4.1:对于私钥,将 \n 替换为跳转行,并另存为“id_cloudshell”
4.2: 主机名是 cs-6000-devshell-vm-XXXXXXXX-XXXX-XXXXX-XXXXX”,我们删除了 cs-6000 部分并添加后缀 .coudshell.dev,得到类似于这样的内容:devshell-vm-XXXXXXXX-XXXX-XXXXX-XXXXX.cloudshell.dev。
5、在端口6000,以 root 身份登录 ssh
‘ssh -i id_cloudshell -p 6000 [email protected]‘
6、至此,你已成为谷歌 cloudshell 实例上的 r00t!
演示视频
时间线
2020年2月6日:向谷歌漏洞奖励计划提交漏洞报告
2020年2月6日:收到谷歌关于漏洞得到分类的消息
2020年2月14日:漏洞报告被接受
2020年2月20日:获得5000美元的奖金
2020年3月18日:谷歌修复漏洞
推荐阅读
立即修复!微软史上最严重漏洞之一 Netlogon 细节被公开,三秒接管企业网络
Citrix 修复严重漏洞,可导致 XenMobile Server 遭接管
这个严重 0day 可导致79款 Netgear 路由器遭远程接管,无补丁
原文链接
https://omespino.com/write-up-google-bug-bounty-xss-to-cloud-shell-instance-takeover-rce-as-root-5000-usd/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~