当有一天，你有机会邂逅所有的gmail邮箱，你会是怎样的感同身受?

互联网上的每两三个用户就会有一个用户使用Gmail作为邮件服务提供商，而且gmail邮箱也成为我们在二次元里很关键的社交帐号凭证，诸如链接至facebook、twitter以及其他更多网站应用，我相信这个你比我更懂。

那么，关键是你是否曾见过世界上所有的Gmail邮箱地址，或者说如果上天许你一个机会，让你获得世界上所有的gmail邮箱地址，你会有怎样的反应?

当上帝不小心手抖了一下，于是这个苹果不偏不倚的的砸在了一名叫做“Oren Hafif”的以色列研究人员的头上。他在Gmail系统中找到了漏洞，从而能够进一步导出包括内部邮箱地址在内的所有的gmail邮箱地址。

Oren是从Gmail授权认证系统中发现这一bug的，它是用来验证其他人是否与你正在使用的账户相同。

这一漏洞实际存在在于Google系统发送的邮件中的URL，这一邮件是用来验证其他邮箱地址访问权限的。

如上图邮件所示，在这封邮件中有两个URL，一个是接受邀请，一个是拒绝。Oren描述了上述的URL：让我们进一步仔细研究一下这个请求的URL

a9cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0j5h3W2D9i4K6u0W2k6$3!0G2k6$3I4W2i4K6u0W2j5$3!0E0i4K6u0r3L8h3q4A6L8q4)9J5c8X3#2V1k6q4)9J5k6r3j5#2y4U0m8U0x3r3x3@1k6e0q4Q4x3X3c8G2M7X3g2F1i4K6u0W2K9r3q4X3K9h3k6Q4x3U0f1@1x3r3N6E0j5h3W2D9i4K6u0W2j5$3!0E0i4K6u0V1j5X3u0p5z5p5Z5H3N6o6k6b7y4V1A6z5e0#2g2a6x3K6k6$3h3e0k6e0i4K6g2X3M7q4A6v1P5e0b7`.

第一：6edK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0j5h3W2D9i4K6u0W2k6$3!0G2k6$3I4W2i4K6u0W2j5$3!0E0i4K6u0r3L8h3q4A6L8q4)9J5c8R3`.`. ，只是正常映射到Gmail应用程序;

第二：/mdd，是映射到邮件认证拒绝的servlet;

第三：f560c0c4e1代表什么呢?它看起来像一个token。在这里有一些希望，因为这段链接是如此之短，并且让它是十六进制;

第四：oren.hafif%40gmail.com我的电子邮件地址;

第五：bbD8J0t6P6JNOUO36vY6S_pZJy4代表什么呢?它看起来像blob代码。这通常是一个不好的信号，意味着Google的HMAC请求的URL将可以应用于暴力扫描。

之后，Oren将一有漏洞的URL放入Brute Force Tool中：

他在URL to FUZZ填入/mail/mdd-{dir}-support@google.com-O6xUbWXP7hm8GaZGUetuk5f9vlU。之后，由于他的未授权请求次数太多，Google限制了他的访问，所以他尝试通过各种手段来旁路连接Google服务器。当然对于完整的演示，你可以参考他的博客或者观看下面视频。

当然在此期间，Google已经修复了这一漏洞并奖励Oren 500美元

[培训]科锐逆向工程师培训第53期2025年7月8日开班！