Temukan Bug LFI di Server Google, Bug Hunter ini Dapatkan Reward 13.337 USD

1168

Temukan Celah LFI di Server Google, Bug Hunter ini Dapatkan Reward 13.337 USD. Cerita sukses dari para bug hunter kadang bisa menjadi inspirasi. Kali ini, seorang bug hunter menemukan celah LFI di production server milik Google dan mendapatkan imbalan sebesar 13.337 US Dollar atau sekitar 191.706.038 IDR (berdasarkan kurs saat artikel ini dibuat).

Melalui postingan di blognya, seorang bug hunter bernama Omar Espino (omespino) menceritakan pengalaman bagaimana ia menemukan celah LFI di server milik Google. LFI atau Local File Inclusion adalah sebuah bug pada site dimana kita bisa mengakses semua file di dalam server hanya dengan melalui URL.

Bug critical tersebut dia temukan di subdomain SPRINGBOARD.GOOGLE.COM. Awalnya dia menemukan celah bypass auth namun saat bug tersebut dilaporkan melalui program Google Vulnerability Reward, bug tersebut belum memenuhi kriteria untuk mendapatkan reward.

Celah LFI di Server Google

Setelah percobaan pertamanya kurang mulus, Omar Espino mencoba untuk “mengoprek” lebih jauh tentang auth bypass yang sebelumnya ia temukan, dan secara mengejutkan dia malah menemukan bug LFI di server production milik Google di subdomain springboard.google.com.

Dia mencoba untuk menngeskalasi bug LFI yang dia temukan menjadi bug RCE, namun sayangnya gagal karena dia tidak berhasil membaca file /proc/*/fd, ssh keys, server keys ataupun log.

Report Timeline

  • Mar 22, 2019: Sent the report to Google VRP (Just the bypass auth part)
  • Mar 22, 2019: Got a message from google that the bug was triaged
  • Mar 25, 2019: Bug Accepted
  • Mar 25, 2019: Reply about that the bug was in revision in Google VRP panel
  • Mar 30, 2019: I found the LFI and sent the new POC in the same report
  • Apr 1, 2019: Got a message saying that they going to fill a another bug with this LFI information
  • Apr 4, 2019: Got a message saying that the first bug wasn’t elegible for financial reward
  • Apr 17 ,2019: Since the everything was happening in the same report and the bugs were fixed, I asked to the team if the 2 bugs wasn’t elegibles or what happened
  • Apr 23, 2019: Got a message saying that sorry about the confusion and I just had to wait to a new reward decision for the LFI part.
  • May 21 2019: $13,337 bounty and permission to publish this write up received

Writeup:

  • https://omespino.com/write-up-google-bug-bounty-lfi-on-production-servers-in-redacted-google-com-13337-usd/