谷歌云部署管理器RCE漏洞分析与利用教学<\/h1>

漏洞概述<\/h2>
本教学文档详细分析了一个在Google Cloud Deployment Manager（谷歌云部署管理器）中发现的远程代码执行(RCE)漏洞。该漏洞允许攻击者通过特定配置向Google内部网络发送请求，可能导致权限提升和内部系统访问。漏洞发现者获得了Google漏洞奖励计划(VRP)的$31,337奖金。<\/p>

前置知识<\/h2>

1. Google Cloud Deployment Manager<\/h3>

谷歌云部署管理器是一种基础架构部署服务，可以自动创建和管理Google Cloud资源。主要概念包括：<\/p>

类型(Type)<\/strong>: 描述特定类型基础结构资源的属性<\/li>
类型提供器(Type Provider)<\/strong>: 提供服务的可用API站点及其描述符文档<\/li>
资源(Resource)<\/strong>: 表示由类型提供的单个基础结构资源的实例<\/li>
模板(Template)<\/strong>: 可重用的Python或Jinja2文件，用于配置资源<\/li>
部署(Deployment)<\/strong>: 资源的集合<\/li>

操作(Operation)<\/strong>: 创建、修改或删除操作的记录<\/li> <\/ul>
2. Dogfood版本<\/h3>
Google内部使用的测试版本，具有一些公众无法使用的功能，通常仅适用于Google员工。<\/p>
3. Global Service Load Balancer (GSLB)<\/h3>
Google的全球服务负载平衡器，类似于内部DNS服务器和负载平衡器的混合体，可以将流量定向到内部IP地址。<\/p>
漏洞发现过程<\/h2>
1. 初始研究<\/h3>
研究者首先尝试了以下方法：<\/p>

查找隐藏或内部的类型<\/li>
检查部署模板以获取异常信息<\/li>
尝试创建指向内网服务的类型提供器<\/li> <\/ul>
2. 发现未记录API版本<\/h3>
通过Google云端控制台的指标页面，发现了两个未记录的API版本：<\/p>

alpha<\/code>版本<\/li>
dogfood<\/code>版本（内部测试版）<\/li> <\/ul> 3. 发现关键字段googleOptions<\/code><\/h3> 在dogfood版本中，类型和类型提供器定义中包含一个未记录的googleOptions<\/code>字段，该字段包含多个子字段：<\/p> "googleOptions"<\/span>:<\/span> { <\/span><\/span> "injectProject"<\/span>: false<\/span>, <\/span><\/span> "deleteIntent"<\/span>: "CREATE_OR_ACQUIRE"<\/span>, <\/span><\/span> "isLocalProvider"<\/span>: false<\/span>, <\/span><\/span> "ownershipKind"<\/span>: "GOOGLE"<\/span>, <\/span><\/span> "transport"<\/span>: "UNKNOWN_TRANSPORT_TYPE"<\/span>, <\/span><\/span> "credentialType"<\/span>: "UNKNOWN_CREDENTIAL_TYPE"<\/span>, <\/span><\/span> "gslbTarget"<\/span>: ""<\/span>, <\/span><\/span> "descriptorUrlServerSpec"<\/span>: ""<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>4. 关键突破：Proto over HTTP<\/h3> 研究者使用Proto over HTTP（一种实验性的gRPC后备功能）对API进行逆向工程，发现了关键的transport<\/code>枚举值：<\/p> GSLB<\/code>: 将请求定向到内部Google站点<\/li> HARPOON<\/code>: 未知功能<\/li> <\/ul> 漏洞利用步骤<\/h2> 1. 创建特殊类型提供器<\/h3> 通过dogfood API创建类型提供器，设置以下关键参数：<\/p> { <\/span><\/span> "name"<\/span>: "test-provider"<\/span>, <\/span><\/span> "descriptorUrl"<\/span>: "https:\/\/example.com\/descriptor"<\/span>, <\/span><\/span> "googleOptions"<\/span>: { <\/span><\/span> "transport"<\/span>: "GSLB"<\/span>, <\/span><\/span> "gslbTarget"<\/span>: "blade:apphosting-admin-nightly"<\/span>, <\/span><\/span> "descriptorUrlServerSpec"<\/span>: "blade:apphosting-admin-nightly"<\/span> <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>2. 利用GSLB发送内部请求<\/h3> 设置transport<\/code>为GSLB<\/code>后，部署管理器会将请求发送到gslbTarget<\/code>指定的内部服务，如：<\/p> blade:corp-issuetracker-api<\/code> (对应issuetracker.corp.googleapis.com)<\/li> blade:apphosting-admin<\/code> (Google App Engine Admin API测试环境)<\/li> <\/ul> 3. 权限提升机制<\/h3> 请求会使用部署管理器服务帐户的凭证(cloud-dm-staging@prod.google.com<\/code>)，该帐户可能有权限访问普通服务帐户无法访问的内部服务。<\/p> 漏洞影响<\/h2> 内部网络访问<\/strong>：可以向Google内部API和服务发送请求<\/li> 信息泄露<\/strong>：可以获取内部错误信息和调试数据<\/li> 潜在RCE<\/strong>：可能通过服务帐户权限提升获得更高权限<\/li> <\/ol> 防御措施<\/h2> Google已采取的修复措施：<\/p> 使gslbTarget<\/code>和descriptorUrlServerSpec<\/code>参数无效<\/li> 限制对dogfood版本的访问<\/li> <\/ul> 时间线<\/h2> 2020年5月7日：发现并报告漏洞<\/li> 2020年5月8日：确认为RCE漏洞<\/li> 2020年5月19日：颁发$31,337奖励<\/li> 2020年5月20日：漏洞修复<\/li> <\/ul> 学习要点<\/h2> 关注未记录功能<\/strong>：API的隐藏版本和参数往往是安全研究的重点<\/li> 协议逆向工程<\/strong>：Proto over HTTP等非标准协议可能暴露关键信息<\/li> 内部命名约定<\/strong>：了解"dogfood"、"blade"等内部术语有助于发现漏洞<\/li> 异步操作分析<\/strong>：注意API的异步操作可能隐藏着安全风险<\/li> <\/ol> 扩展研究<\/h2> 研究者建议进一步研究：<\/p> Google Cloud Deployment Manager中的其他潜在漏洞<\/li> 不同API版本(v2, v2beta, alpha, dogfood)之间的差异<\/li> Google内部身份验证机制(如GAIA)的潜在问题<\/li> <\/ol> 参考资源<\/h2> 原文链接: https:\/\/www.ezequiel.tech\/2020\/05\/rce-in-cloud-dm.html<\/li> Google Cloud Deployment Manager文档<\/li> Google漏洞奖励计划(VRP)<\/li> <\/ol>

谷歌云部署管理器RCE漏洞分析与利用教学<\/h1>

前置知识<\/h2>

2. Dogfood版本<\/h3> Google内部使用的测试版本，具有一些公众无法使用的功能，通常仅适用于Google员工。<\/p>

3. Global Service Load Balancer (GSLB)<\/h3> Google的全球服务负载平衡器，类似于内部DNS服务器和负载平衡器的混合体，可以将流量定向到内部IP地址。<\/p>

漏洞发现过程<\/h2>

漏洞利用步骤<\/h2>

3. 权限提升机制<\/h3> 请求会使用部署管理器服务帐户的凭证(cloud-dm-staging@prod.google.com<\/code>)，该帐户可能有权限访问普通服务帐户无法访问的内部服务。<\/p>

参考资源<\/h2> 原文链接: https:\/\/www.ezequiel.tech\/2020\/05\/rce-in-cloud-dm.html<\/li> Google Cloud Deployment Manager文档<\/li> Google漏洞奖励计划(VRP)<\/li> <\/ol>

2. Dogfood版本<\/h3>
Google内部使用的测试版本，具有一些公众无法使用的功能，通常仅适用于Google员工。<\/p>

3. Global Service Load Balancer (GSLB)<\/h3>
Google的全球服务负载平衡器，类似于内部DNS服务器和负载平衡器的混合体，可以将流量定向到内部IP地址。<\/p>

3. 权限提升机制<\/h3>
请求会使用部署管理器服务帐户的凭证(`cloud-dm-staging@prod.google.com<\/code>)，该帐户可能有权限访问普通服务帐户无法访问的内部服务。<\/p>`

参考资源<\/h2>

原文链接: https:\/\/www.ezequiel.tech\/2020\/05\/rce-in-cloud-dm.html<\/li>
Google Cloud Deployment Manager文档<\/li>
Google漏洞奖励计划(VRP)<\/li> <\/ol>