挖洞经验|看我如何挖到了一个价值5K刀的谷歌“404页面”

大家别慌，这是一篇很短的文章…文章虽短，但希望能给大家日常挖洞带来灵感或启发！

在今年一月份的某一天，作为一个非常喜欢搞事情的人，当时的我正在尝试寻找Google服务中可能存在的安全问题，如果能够找到满足Google漏洞奖励计划的漏洞，那我岂不是又要发财了？

作者 | Alpha_h4ck

在寻找漏洞的过程中我遇到了这个页面：https://login.corp.google.com。从表面上看，这个页面只不过是一个简单的登录页面而已，看起来这个页面貌似是给Google的员工自己准备的…

每当我访问这个页面时，该页面便会直接从https://static.corp.google.com载入一张新的图片。目前来看，是不是感觉一切都很正常呢？

下面是一张图片样本的URL地址：

https://static.corp.google.com/corpsso/images/PICT0004.jpg

好吧…在进行了一堆乱七八糟的尝试之后，我感觉剩下唯一能做的就是去尝试触发一些错误了，于是我访问了下面这个页面：

https://static.corp.google.com/corpsso/asd/

访问之后，浏览器便显示了一个Google 404页面给我，但这个页面有一个地方引起了我的注意：

老天保佑，我终于发现了些什么！接下来，让我们看一看这到底是个什么玩意儿。

大家可以看到上图中红圈圈画出的部分：“Re-run query with SFFE debug trace”。这个链接指向的是：

https://static.corp.google.com/corpsso/asd/?deb=trace

下图显示的是SSFE和XFE HTTP请求：

在404URL地址后面加上一个“?deb=trace”之后，我就可以访问到static.corp.google.com的内部调试信息了，这里我可以查看到完整的X-FrontEnd（XFE）Debug Trace以及其他各种信息。只不过我现在仍然不知道这个“SFFE”到底是个什么鬼，但看起来它像是Google后台用于处理Bigtable查询请求的某种请求处理引擎。（注：Bigtable是一款能够完成大规模分析及大型操作的高性能NoSQL数据库服务）如果你对Bigtable感兴趣的话，可以查看Google给出的这篇参考资料。

我可以查看到SFFE请求头，但我没有从中发现任何有价值的东西…

在调试页面的另外一个部分中，我查看到了完整的Bigtable查询流，而正是我之前发出的请求触发了这些后台查询（出于某种原因，我这里需要打码，请各位见谅）：

这些查询数据中包含表名以及不同Bigtables的路径地址，而正是我的请求让后台服务器返回了这些查询数据。此时，我已经可以访问到以下几种Google内部信息了：

-服务器（用于处理查询请求）的内部IP地址以及服务器的正常运行时间； -服务器名称（服务器名称实际上是一个链接，这个链接无法通过外网访问，但它貌似指向的是GoogleBorg集群）； -SFFE请求和响应头； -XFE HTTP请求 -复制Bigtable查询流； -服务政策； -等等等等…

这个页面不支持任何形式的用户交互，而且我现在还没有找到继续深入进去系统的方法，但我还是把这个问题上报给了Google，而这也是我第一次从Google那里得到漏洞奖金。

报告时间轴

报告时间轴

2017年1月19日：初始报告

2017年1月20日：报告分类

2017年1月20日：漏洞确认

2017年2月10日：Google已经修复了这个漏洞，但他们似乎忘记告诉我了…

2017年2月19日：Google告诉我他们采用了一个临时的修复策略，并忘记给我发送报告了…

2017年3月10日：5000美金到手

2017年3月16日：Google永久修复了该问题