爆：Oracle Responsys本地文件包含漏洞！

因爲當前不少商業銷售、網絡存儲和社交關係公司都採用了Oracle Responsys的雲解決方案，因此，該漏洞對多個知名公司服務形成影響，這些公司包括Facebook、Linkedin、Dropbox等。

Responsys：原先爲一家領先的企業級B2C雲營銷軟件提供商，公司主要向企業提供網絡廣告營銷軟件，幫助企業經過電子郵件、網站、移動設備、社交網絡及展現廣告進行營銷宣傳與溝通。2013年12月21日，甲骨文宣佈斥資15億美圓收購，以後成爲Oracle Responsys。Responsys進一步整合延伸了Oracle商業雲、銷售雲、服務雲、社交雲及營銷雲等諸多客戶關係雲服務。

Responsys提供企業級別的B2C商業服務模式，當企業使用Responsys雲服務方案進行了系統架設以後，Responsys會爲每個客戶企業分配與其它企業不一樣的「私有IP」，以訪問和使用其自身的雲服務系統。

漏洞發現

這多少有點無意之舉，我常常在郵箱中收到Facebook發給個人一些開發者郵件，這些郵件有些是發自域名爲em.facebookmail.com的郵箱，就比如我郵箱中常常有一些來自fbdev@em.facebookmail.com的郵件，這引發了個人注意。漏洞挖掘思惟讓我以爲域名em.facebookmail.com可能會有點意思，因而通過一番DIG以後，我發現該域名與Facebook的」Responsys」雲服務有關，而在以前其它的滲透測試場景中我曾對」Responsys」有所瞭解。

從上圖可知，Responsys爲Facebook提供了基於域名em.facebookmail.com的郵件服務。而我在fbdev@em.facebookmail.com發給個人郵件中也發現了Responsys郵件服務的原始連接：

http://em.facebookmail.com/pub/cc?_ri_=X0Gzc2X%3DWQpglLjHJlYQGkSIGbc52zaRY0i6zgzdzc6jpzcASTGzdzeRfAzbzgJyH0zfzbLVXtpKX%3DSRTRYRSY&_ei_=EolaGGF4SNMvxFF7KucKuWNhjeSKbKRsHLVV55xSq7EoplYQTaISpeSzfMJxPAX8oMMhFTpOYUvvmgn-WhyT6yBDeImov65NsCKxmYwyOL0.

參數 「_ri_=」的做用是對連接生成一個有效請求。在通過一些測試後我發現，Facebook系統在此不能正確處理二次URL編碼，能夠在」_ri_=」以前的連接中添加使用任意正確的查詢參數值，好比，我能夠在此加入關於密碼查詢的「%252fetc%252fpasswd」命令，並能成功執行：

http://em.facebookmail.com/pub/sf/%252fetc%252fpasswd?_ri_=X0Gzc2X%3DYQpglLjHJlYQGrzdLoyD13pHoGgHNjCWGRBIk4d6Uw74cgmmfaDIiK4za7bf4aUdgSVXMtX%3DYQpglLjHJlYQGnnlO8Rp71zfzabzewzgLczg7Ulwbazahw8uszbNYzeazdMjhDzcmJizdNFCXgn&_ei_=Ep0e16vSBKEscHnsTNRZT2jxEz5WyG1Wpm_OvAU-aJZRZ_wzYDw97ETX_iSmseE

一般來講，這種經過目錄遍歷字符的注入而獲取到目標服務器相關信息的作法，都是因爲對代碼和系統架構的審查和過濾不當形成的。

觸類旁通

很快，我也意識到該漏洞應該不僅對Facebook形成影響，可能還對那些使用Responsys提供私有云服務的公司造成安全威脅。谷歌search了一下，能夠發現一大把的公司網站都存在該漏洞：

 

利用該漏洞，經過構造有效的_ri_請求參數，能夠直接獲取到目標公司企業的一些內部服務器信息，如Linkedin：

這種本地文件包含（LFI）漏洞形成的影響，小到信息泄露，大到服務器被攻擊控制，都有可能發生。而從這個Responsys架構的LFI漏洞來看，相對於比較嚴重，由於它將對大量使用Responsys服務的公司形成數據安全隱患。

最終，我選擇及時向Oracle公司上報了這個漏洞，一週以後，該漏洞就獲得了Oracle方面有效的修復解決。

原文來自：http://www.yunweipai.com/archives/18858.html

本文地址：https://www.linuxprobe.com/oracle-responsys.html編輯員：郭建鵬，審覈員：逄增寶