今天我要向大家展現(xiàn)的是，我如何發(fā)現(xiàn)了Oracle Responsys云效勞系統(tǒng)中的一個(gè)本地文件包含破綻（LFI）。由于當(dāng)前很多商業(yè)銷售、網(wǎng)絡(luò)存儲(chǔ)和社交關(guān)系公司都采用了Oracle Responsys的云處理計(jì)劃，所以，該破綻對(duì)多個(gè)知名公司效勞形成影響，這些公司包括Facebook、Linkedin、Dropbox等。

Responsys：原先為一家領(lǐng)先的企業(yè)級(jí)B2C云營(yíng)銷軟件提供商，公司主要向企業(yè)提供網(wǎng)絡(luò)廣告營(yíng)銷軟件，幫助企業(yè)通過(guò)電子郵件、網(wǎng)站、移動(dòng)設(shè)備、社交網(wǎng)絡(luò)及展示廣告進(jìn)行營(yíng)銷宣傳與溝通。2013年12月21日，甲骨文宣布斥資15億美元收購(gòu)，之后成為Oracle Responsys。Responsys進(jìn)一步整合延伸了Oracle商業(yè)云、銷售云、服務(wù)云、社交云及營(yíng)銷云等諸多客戶關(guān)系云服務(wù)。

Responsys提供企業(yè)級(jí)別的B2C商業(yè)服務(wù)模式，當(dāng)企業(yè)使用Responsys云服務(wù)方案進(jìn)行了系統(tǒng)架設(shè)之后，Responsys會(huì)為每一個(gè)客戶企業(yè)分配與其它企業(yè)不同的“私有IP”，以訪問(wèn)和使用其自身的云服務(wù)系統(tǒng)。

漏洞發(fā)現(xiàn)

這多少有點(diǎn)無(wú)心之舉，我經(jīng)常在郵箱中收到Facebook發(fā)給我的一些開發(fā)者郵件，這些郵件有些是發(fā)自域名為em.facebookmail.com的郵箱，就好比我郵箱中經(jīng)常有一些來(lái)自fbdev@em.facebookmail.com的郵件，這引起了我的注意。漏洞挖掘思維讓我覺(jué)得域名em.facebookmail.com可能會(huì)有點(diǎn)意思，于是經(jīng)過(guò)一番DIG之后，我發(fā)現(xiàn)該域名與Facebook的”Responsys”云服務(wù)有關(guān)，而在之前其它的滲透測(cè)試場(chǎng)景中我曾對(duì)”Responsys”有所了解。

從上圖可知，Responsys為Facebook提供了基于域名em.facebookmail.com的郵件服務(wù)。而我在fbdev@em.facebookmail.com發(fā)給我的郵件中也發(fā)現(xiàn)了Responsys郵件服務(wù)的原始鏈接：

http://em.facebookmail.com/pub/cc?_ri_=X0Gzc2X%3DWQpglLjHJlYQGkSIGbc52zaRY0i6zgzdzc6jpzcASTGzdzeRfAzbzgJyH0zfzbLVXtpKX%3DSRTRYRSY&_ei_=EolaGGF4SNMvxFF7KucKuWNhjeSKbKRsHLVV55xSq7EoplYQTaISpeSzfMJxPAX8oMMhFTpOYUvvmgn-WhyT6yBDeImov65NsCKxmYwyOL0.

參數(shù) “_ri_=”的作用是對(duì)鏈接生成一個(gè)有效請(qǐng)求。在經(jīng)過(guò)一些測(cè)試后我發(fā)現(xiàn)，F(xiàn)acebook系統(tǒng)在此不能正確處理二次URL編碼，可以在”_ri_=”之前的鏈接中添加使用任意正確的查詢參數(shù)值，比如，我可以在此加入關(guān)于密碼查詢的“%252fetc%252fpasswd”命令，并能成功執(zhí)行：

http://em.facebookmail.com/pub/sf/%252fetc%252fpasswd?_ri_=X0Gzc2X%3DYQpglLjHJlYQGrzdLoyD13pHoGgHNjCWGRBIk4d6Uw74cgmmfaDIiK4za7bf4aUdgSVXMtX%3DYQpglLjHJlYQGnnlO8Rp71zfzabzewzgLczg7Ulwbazahw8uszbNYzeazdMjhDzcmJizdNFCXgn&_ei_=Ep0e16vSBKEscHnsTNRZT2jxEz5WyG1Wpm_OvAU-aJZRZ_wzYDw97ETX_iSmseE

通常來(lái)說(shuō)，這種通過(guò)目錄遍歷字符的注入而獲取到目標(biāo)服務(wù)器相關(guān)信息的做法，都是由于對(duì)代碼和系統(tǒng)架構(gòu)的審查和過(guò)濾不當(dāng)造成的。

舉一反三

很快，我也意識(shí)到該漏洞應(yīng)該不只對(duì)Facebook造成影響，可能還對(duì)那些使用Responsys提供私有云服務(wù)的公司形成安全威脅。谷歌search了一下，可以發(fā)現(xiàn)一大把的公司網(wǎng)站都存在該漏洞：

利用該漏洞，通過(guò)構(gòu)造有效的_ri_請(qǐng)求參數(shù)，可以直接獲取到目標(biāo)公司企業(yè)的一些內(nèi)部服務(wù)器信息，如Linkedin：

這種本地文件包含（LFI）破綻形成的影響，小到信息泄露，大到效勞器被攻擊控制，都有可能發(fā)作。而從這個(gè)Responsys架構(gòu)的LFI破綻來(lái)看，相關(guān)于比擬嚴(yán)重，由于它將對(duì)大量運(yùn)用Responsys效勞的公司形成數(shù)據(jù)平安隱患。

最終，我選擇及時(shí)向Oracle公司上報(bào)了這個(gè)破綻，一周之后，該破綻就得到了Oracle方面有效的修復(fù)處理。

馬哥學(xué)習(xí)交流群

馬哥教育-Linux學(xué)習(xí)-1群 485374463

馬哥教育-Linux學(xué)習(xí)-2群 339184057

?