我是如何发现Google服务器上的LFI漏洞的

本文将介绍如何利用本地文件包含漏洞读取Google某服务器上的任意文件。漏洞存在于Google的Feedburner中,在提交漏洞后,Google安全团队迅速修复了这一漏洞。

FeedBurner是什么

维基百科上对FeedBurner的介绍:

FeedBurner是一个于2004年在美国芝加哥市成立的网站馈送管理供应商。FeedBurner为博客作者、播客与其他基于网络的内容发布者提供订制的RSS馈送与管理工具,提供予发布者的服务包括流量分析以及一个可供选择的广告系统。2007年Google收购了FeedBurner。

FeedBurner之前就曾是我的目标之一,很久以前我就在这个域名发现过一些xss,我猜想可能还会有有趣的漏洞。之后我在调查后发现,FeedBurner以前有个开放的API,但是Google在2012年关闭了这个API。虽然开发者档案(https://developers.google.com/feedburner/)已经被删除了,我们还是可以用Wayback Machine" (http://archive.org/web/)读取到。

我在文档中发现了这个链接:http://feedburner.google.com/fb/dynamicflares/HelloVisitor.jsp?feedUrl=http://domain.tld/ff.xml(现 在没用了)。

这个jsp脚本的功能是获取动态FeedFlare单元文件的内容,这些单元文件其实基本上就是些简单的xml文件。有些人可能不太熟悉 FeedFlares,这个就像是某种插件,Feed的拥有者可以通过它让读者通过新的方式对发布的内容进行交互,例如:http://www.code4free.com/ff_example.xml。

漏洞挖掘

乍看起来,脚本的作用就是抓取XML,作为feedUrl的参数,然后对其进行XSL转换。这个文件的问题就是直接把XML的内容append过去了,没有进行修改甚至没有编码。

我首先尝试寻找XSS漏洞,我提供了一个指向恶意html文件的URL,就找到了xss漏洞。然后我想,说不定会有漏洞能够造成更大影响呢?例如能够从 web服务器读取文件。

所以我就尝试使用各种payload进行测试,我尝试目录遍历攻击("../../../../../../../etc /passwd"),这是本地文件包含(LFI)攻击中非常典型的手法,没有成功。不过,我随后改变了方法,使用文件URI的方法成功获取到了服务器上的 文件。

虽然根据安全策略文件,不是所有的文件都可以读取,但读取系统日志足以证明这个漏洞,而漏洞的严重性依旧不容小视。我将漏洞提交给Google后,安全团队在10分钟后修复了该问题。

视频PoC

*参考来源:ownsecurity,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-09-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏王磊的博客

八伟大的工具,Windows用户永远都不想错过

有许多的应用程序你可以找到,但是获得免费并且好用 的程序不是一件容易的事情,每当你需要这样的软件的时候,你就会网上搜啊搜,结果下载下来一运行达不到想要的效果,这...

4216
来自专栏王磊的博客

生成文件的另一种思路——共享文件同步

背景 由于网站访问量大,需要多台服务器生成静态文件,然后多机负载,所有生成成了头等大事,一是方式所需,二是生成环节消耗CPU与内存操作太大,经常出问题。常用的生...

4919
来自专栏小白课代表

重大更新!全新的百度网盘下载器 PanDownload v2.0.1 来了!(附全新介绍)

时隔半年,最早的最稳定的知名度最高的流传范围最广的百度网盘下载器,PanDownload 终于迎来重大更新!

4234
来自专栏一名叫大蕉的程序员

企业神奇中间件-RPC No.96

1302
来自专栏互联网杂技

什么是微服务

在介绍微服务时,首先得先理解什么是微服务,顾名思义,微服务得从两个方面去理解,什么是"微"、什么是"服务", 微 狭义来讲就是体积小、著名的"2 p...

1911
来自专栏西枫里博客

启用CDN后,QQ互联登录出现异常的问题。

博客群里的网友都说网站真实IP没隐藏有巨大的被D风险。隐藏网站真实IP最简单的办法就是做内容分发网络,用户在访问网站的时候是访问就近的CDN节点,ping出来的...

1862
来自专栏有趣的django

Flask构建微电影(一) 第一章、项目介绍第二章、环境搭建

2540
来自专栏张善友的专栏

从APM角度上看:NoSQL和关系数据库并无不同

Michael Kopp拥有十年以上C++、Java/JEE的架构及开发经验,现Compuware技术策略师,专攻大规模产品部署的架构和性能。 以下为译文: 传...

2428
来自专栏FreeBuf

国产WEB扫描器北极熊有哪些使用技巧?

【北极熊扫描器】到目前为止已经度过了3个年头,作者一直在学习中,坚持更新软件,改进程序,修正BUG,那么接下来我将给大家介绍一下,【北极熊扫描器】这款软件怎么玩...

2266
来自专栏北京马哥教育

以最简单方式学习Linux

有很多关于Linux的书籍,博客。大多数都会比较“粗暴“的将一大堆的命令塞给读者,从而使很多.NET程序员望而却步。未入其门就路过了。 所以我设想用一种更为平...

4015

扫码关注云+社区

领取腾讯云代金券