對眾多知名公司造成影響的Oracle Responsys本地文件包含漏洞

今天我要向大家展示的是，我如何發現了Oracle Responsys雲服務系統中的一個本地文件包含漏洞（LFI）。由於當前很多商業銷售、網路存儲和社交關係公司都採用了Oracle Responsys的雲解決方案，所以，該漏洞對多個知名公司服務造成影響，這些公司包括Facebook、Linkedin、Dropbox等。

Responsys：原先為一家領先的企業級B2C雲營銷軟體提供商，公司主要向企業提供網路廣告營銷軟體，幫助企業通過電子郵件、網站、移動設備、社交網路及展示廣告進行營銷宣傳與溝通。2013年12月21日，甲骨文宣布斥資15億美元收購，之後成為Oracle Responsys。Responsys進一步整合延伸了Oracle商業雲、銷售雲、服務雲、社交雲及營銷雲等諸多客戶關係雲服務。

Responsys提供企業級別的B2C商業服務模式，當企業使用Responsys雲服務方案進行了系統架設之後，Responsys會為每一個客戶企業分配與其它企業不同的「私有IP」，以訪問和使用其自身的雲服務系統。

漏洞發現

這多少有點無心之舉，我經常在郵箱中收到Facebook發給我的一些開發者郵件，這些郵件有些是發自域名為em.facebookmail.com的郵箱，就好比我郵箱中經常有一些來自

fbdev@em.facebookmail.com

em.facebookmail.com

可能會有點意思，於是經過一番DIG之後，我發現該域名與Facebook的」Responsys」雲服務有關，而在之前其它的滲透測試場景中我曾對」Responsys」有所了解。

從上圖可知，Responsys為Facebook提供了基於域名em.facebookmail.com的郵件服務。而我在fbdev@em.facebookmail.com發給我的郵件中也發現了Responsys郵件服務的原始鏈接：

http://em.facebookmail.com/pub/cc?_ri_=X0Gzc2X%3DWQpglLjHJlYQGkSIGbc52zaRY0i6zgzdzc6jpzcASTGzdzeRfAzbzgJyH0zfzbLVXtpKX%3DSRTRYRSY&_ei_=EolaGGF4SNMvxFF7KucKuWNhjeSKbKRsHLVV55xSq7EoplYQTaISpeSzfMJxPAX8oMMhFTpOYUvvmgn-WhyT6yBDeImov65NsCKxmYwyOL0.

參數 「_ri_=」的作用是對鏈接生成一個有效請求。在經過一些測試後我發現，Facebook系統在此不能正確處理二次URL編碼，可以在」_ri_=」之前的鏈接中添加使用任意正確的查詢參數值，比如，我可以在此加入關於密碼查詢的

「%252fetc%252fpasswd」

http://em.facebookmail.com/pub/sf/%252fetc%252fpasswd?_ri_=X0Gzc2X%3DYQpglLjHJlYQGrzdLoyD13pHoGgHNjCWGRBIk4d6Uw74cgmmfaDIiK4za7bf4aUdgSVXMtX%3DYQpglLjHJlYQGnnlO8Rp71zfzabzewzgLczg7Ulwbazahw8uszbNYzeazdMjhDzcmJizdNFCXgn&_ei_=Ep0e16vSBKEscHnsTNRZT2jxEz5WyG1Wpm_OvAU-aJZRZ_wzYDw97ETX_iSmseE

通常來說，這種通過目錄遍歷字元的注入而獲取到目標伺服器相關信息的做法，都是由於對代碼和系統架構的審查和過濾不當造成的。

舉一反三

很快，我也意識到該漏洞應該不只對Facebook造成影響，可能還對那些使用Responsys提供私有雲服務的公司形成安全威脅。谷歌search了一下，可以發現一大把的公司網站都存在該漏洞：

利用該漏洞，通過構造有效的_ri_請求參數，可以直接獲取到目標公司企業的一些內部伺服器信息，如Linkedin：

這種本地文件包含（LFI）漏洞造成的影響，小到信息泄露，大到伺服器被攻擊控制，都有可能發生。而從這個Responsys架構的LFI漏洞來看，相對於比較嚴重，因為它將對大量使用Responsys服務的公司造成數據安全隱患。

最終，我選擇及時向Oracle公司上報了這個漏洞，一周之後，該漏洞就得到了Oracle方面有效的修復解決。

*參考來源：blog，freebuf小編clouds編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！