如何发现Oracle Responsys云服务系统中的漏洞

100次阅读

共计 1936 个字符，预计需要花费 5 分钟才能阅读完成。

今天我要向大家展现的是，我如何发现了 Oracle Responsys 云效劳系统中的一个本地文件包含破绽（LFI）。由于当前很多商业销售、网络存储和社交关系公司都采用了 Oracle Responsys 的云处理计划，所以，该破绽对多个知名公司效劳形成影响，这些公司包括 Facebook、Linkedin、Dropbox 等。

如何发现 Oracle Responsys 云服务系统中的漏洞

Responsys：原先为一家领先的企业级 B2C 云营销软件提供商，公司主要向企业提供网络广告营销软件，帮助企业通过电子邮件、网站、移动设备、社交网络及展示广告进行营销宣传与沟通。2013 年 12 月 21 日，甲骨文宣布斥资 15 亿美元收购，之后成为 Oracle Responsys。Responsys 进一步整合延伸了 Oracle 商业云、销售云、服务云、社交云及营销云等诸多客户关系云服务。

Responsys 提供企业级别的 B2C 商业服务模式，当企业使用 Responsys 云服务方案进行了系统架设之后，Responsys 会为每一个客户企业分配与其它企业不同的“私有 IP”，以访问和使用其自身的云服务系统。

漏洞发现

这多少有点无心之举，我经常在邮箱中收到 Facebook 发给我的一些开发者邮件，这些邮件有些是发自域名为 em.facebookmail.com 的邮箱，就好比我邮箱中经常有一些来自 fbdev@em.facebookmail.com 的邮件，这引起了我的注意。漏洞挖掘思维让我觉得域名 em.facebookmail.com 可能会有点意思，于是经过一番 DIG 之后，我发现该域名与 Facebook 的”Responsys”云服务有关，而在之前其它的渗透测试场景中我曾对”Responsys”有所了解。

如何发现 Oracle Responsys 云服务系统中的漏洞

从上图可知，Responsys 为 Facebook 提供了基于域名 em.facebookmail.com 的邮件服务。而我在 fbdev@em.facebookmail.com 发给我的邮件中也发现了 Responsys 邮件服务的原始链接：

http://em.facebookmail.com/pub/cc?_ri_=X0Gzc2X%3DWQpglLjHJlYQGkSIGbc52zaRY0i6zgzdzc6jpzcASTGzdzeRfAzbzgJyH0zfzbLVXtpKX%3DSRTRYRSY&_ei_=EolaGGF4SNMvxFF7KucKuWNhjeSKbKRsHLVV55xSq7EoplYQTaISpeSzfMJxPAX8oMMhFTpOYUvvmgn-WhyT6yBDeImov65NsCKxmYwyOL0.

参数“_ri_=”的作用是对链接生成一个有效请求。在经过一些测试后我发现，Facebook 系统在此不能正确处理二次 URL 编码，可以在”_ri_=”之前的链接中添加使用任意正确的查询参数值，比如，我可以在此加入关于密码查询的“%252fetc%252fpasswd”命令，并能成功执行：

http://em.facebookmail.com/pub/sf/%252fetc%252fpasswd?_ri_=X0Gzc2X%3DYQpglLjHJlYQGrzdLoyD13pHoGgHNjCWGRBIk4d6Uw74cgmmfaDIiK4za7bf4aUdgSVXMtX%3DYQpglLjHJlYQGnnlO8Rp71zfzabzewzgLczg7Ulwbazahw8uszbNYzeazdMjhDzcmJizdNFCXgn&_ei_=Ep0e16vSBKEscHnsTNRZT2jxEz5WyG1Wpm_OvAU-aJZRZ_wzYDw97ETX_iSmseE

通常来说，这种通过目录遍历字符的注入而获取到目标服务器相关信息的做法，都是由于对代码和系统架构的审查和过滤不当造成的。