Google App Engine RCE漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
本漏洞是一个Google App Engine (GAE)的远程代码执行(RCE)漏洞，发现于2018年初，漏洞奖励金额高达$36,337美元。漏洞允许攻击者通过内部API访问GAE的非生产环境(staging\/测试环境)，执行未授权的操作。<\/p>

漏洞发现背景<\/h2>

每个GAE应用都使用"X-Cloud-Trace-Context"头部响应HTTP请求<\/li>
"appengine.google.com"本身运行在GAE上，但能执行普通应用无法完成的操作<\/li>

这些特殊操作通过内部API、接口实现，只有Google自己的应用才能访问<\/li> <\/ul>

内部API发现<\/h2>

HTTP端点发现<\/h3>

在Java 8环境中，GAE应用通过向内部HTTP端点发送ProtocolBuffer(PB)消息执行内部操作：<\/p>

POST \/rpc_http HTTP\/1.1
Host: 169.254.169.253:10001
X-Google-RPC-Service-Endpoint: app-engine-apis
X-Google-RPC-Service-Method: \/VMRemoteAPI.CallRemoteAPI
Content-Type: application\/octet-stream
Content-Length: <LENGTH>

<PROTO_MESSAGE>
<\/code><\/pre>
PB消息格式为"apphosting.ext.remote_api.Request"，包含：<\/p>

service_name<\/code>: 要调用的API名称<\/li>
method<\/code>: 要调用的API方法<\/li>
request<\/code>: 内部PB请求的字节数据(二进制编码)<\/li>
request_id<\/code>: 安全票据(必需)<\/li>
<\/ul>
获取安全票据<\/h3>
Java代码获取安全票据的方法：<\/p>
import<\/span> com.google.apphosting.api.ApiProxy;<\/span>
<\/span><\/span>import<\/span> java.lang.reflect.Method;<\/span>
<\/span><\/span>
<\/span><\/span>Method getSecurityTicket =<\/span> ApiProxy.<\/span>getCurrentEnvironment<\/span>().<\/span>getClass<\/span>().<\/span>getDeclaredMethod<\/span>(<\/span>"getSecurityTicket"<\/span>);<\/span>
<\/span><\/span>getSecurityTicket.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span>
<\/span><\/span>String security_ticket =<\/span> (<\/span>String)<\/span>getSecurityTicket.<\/span>invoke<\/span>(<\/span>ApiProxy.<\/span>getCurrentEnvironment<\/span>());<\/span>
<\/span><\/span><\/code><\/pre>gRPC服务发现<\/h3>
通过端口扫描发现169.254.169.253:4运行gRPC服务，提供"apphosting.APIHost" API。<\/p>
非生产环境访问方法<\/h2>

上传一个缩放类型为手动缩放的版本<\/li>
向"www.appspot.com"发送请求，修改Host头部为：

Staging环境: <project-name>.prom-qa.sandbox.google.com<\/code><\/li>
测试环境: <project-name>.prom-nightly.sandbox.google.com<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用细节<\/h2>
stubby API利用<\/h3>


调用"stubby.GetStubId"方法：<\/p>
{
<\/span><\/span>  "host"<\/span>: "<HOST>"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>返回包含stub_id<\/code>的响应<\/p>
<\/li>

调用"stubby.Send"方法：<\/p>
{
<\/span><\/span>  "stubby_method"<\/span>: "\/<SERVICE>.<METHOD>"<\/span>,
<\/span><\/span>  "stubby_request"<\/span>: "<PB>"<\/span>,
<\/span><\/span>  "stub_id"<\/span>: "<STUB_ID>"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>可通过设置stubby_method<\/code>为"\/ServerStatus.GetServices"获取所有可用服务列表<\/p>
<\/li>
<\/ol>
app_config_service API利用<\/h3>
发现的其他内部API方法：<\/p>

app_config_service.GetAppConfig<\/code><\/li>
app_config_service.ConfigApp<\/code><\/li>
app_config_service.SetAdminConfig<\/code><\/li>
<\/ul>
危险功能：<\/p>

设置电子邮件发件人<\/li>
修改应用程序服务帐户ID<\/li>
忽略配额限制<\/li>
将应用设为"SuperApp"<\/li>
授予"FILE_GOOGLE3_ACCESS"权限<\/li>
<\/ul>
漏洞修复与影响<\/h2>

Google在2018年3月6-13日期间封锁了对非生产性GAE环境的访问<\/li>
访问尝试会返回"429 Too Many Requests"错误<\/li>
漏洞被评定为高危RCE漏洞<\/li>
<\/ul>
时间线<\/h2>

2018年2月: 漏洞发现<\/li>
2018年2月25日: 初次报告(stubby API)<\/li>
2018年3月4-5日: 发现并报告app_config_service API<\/li>
2018年3月6-13日: 访问被封锁<\/li>
2018年3月13日: 颁发$36,337奖励<\/li>
<\/ul>
技术要点总结<\/h2>

GAE内部使用Protocol Buffer进行RPC通信<\/li>
通过反射可以获取关键安全票据<\/li>
非生产环境存在未受保护的内部API端点<\/li>
stubby和app_config_service API暴露了危险功能<\/li>
漏洞利用链最终导致远程代码执行<\/li>
<\/ol>
防御建议<\/h2>

严格隔离生产与非生产环境<\/li>
内部API应实施强认证机制<\/li>
限制反射等可能暴露内部信息的功能<\/li>
监控异常的内部API调用模式<\/li>
<\/ul>

Google App Engine RCE漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2> 本漏洞是一个Google App Engine (GAE)的远程代码执行(RCE)漏洞，发现于2018年初，漏洞奖励金额高达$36,337美元。漏洞允许攻击者通过内部API访问GAE的非生产环境(staging\/测试环境)，执行未授权的操作。<\/p>

内部API发现<\/h2>

gRPC服务发现<\/h3> 通过端口扫描发现169.254.169.253:4运行gRPC服务，提供"apphosting.APIHost" API。<\/p>

漏洞利用细节<\/h2>

防御建议<\/h2> 严格隔离生产与非生产环境<\/li> 内部API应实施强认证机制<\/li> 限制反射等可能暴露内部信息的功能<\/li> 监控异常的内部API调用模式<\/li> <\/ul>

漏洞概述<\/h2>
本漏洞是一个Google App Engine (GAE)的远程代码执行(RCE)漏洞，发现于2018年初，漏洞奖励金额高达$36,337美元。漏洞允许攻击者通过内部API访问GAE的非生产环境(staging\/测试环境)，执行未授权的操作。<\/p>

gRPC服务发现<\/h3>
通过端口扫描发现169.254.169.253:4运行gRPC服务，提供"apphosting.APIHost" API。<\/p>

防御建议<\/h2>

严格隔离生产与非生产环境<\/li>
内部API应实施强认证机制<\/li>
限制反射等可能暴露内部信息的功能<\/li>
监控异常的内部API调用模式<\/li> <\/ul>