对众多知名公司造成影响的Oracle Responsys本地文件包含漏洞

今天我要向大家展示的是,我如何发现了Oracle Responsys云服务系统中的一个本地文件包含漏洞(LFI)。由于当前很多商业销售、网络存储和社交关系公司都采用了Oracle Responsys的云解决方案,所以,该漏洞对多个知名公司服务造成影响,这些公司包括Facebook、Linkedin、Dropbox等。

Responsys:原先为一家领先的企业级B2C云营销软件提供商,公司主要向企业提供网络广告营销软件,帮助企业通过电子邮件、网站、移动设备、社交网络及展示广告进行营销宣传与沟通。2013年12月21日,甲骨文宣布斥资15亿美元收购,之后成为Oracle Responsys。Responsys进一步整合延伸了Oracle商业云、销售云、服务云、社交云及营销云等诸多客户关系云服务。

Responsys提供企业级别的B2C商业服务模式,当企业使用Responsys云服务方案进行了系统架设之后,Responsys会为每一个客户企业分配与其它企业不同的“私有IP”,以访问和使用其自身的云服务系统。

漏洞发现

这多少有点无心之举,我经常在邮箱中收到Facebook发给我的一些开发者邮件,这些邮件有些是发自域名为em.facebookmail.com的邮箱,就好比我邮箱中经常有一些来自fbdev@em.facebookmail.com的邮件,这引起了我的注意。漏洞挖掘思维让我觉得域名em.facebookmail.com可能会有点意思,于是经过一番DIG之后,我发现该域名与Facebook的”Responsys”云服务有关,而在之前其它的渗透测试场景中我曾对”Responsys”有所了解。

从上图可知,Responsys为Facebook提供了基于域名em.facebookmail.com的邮件服务。而我在fbdev@em.facebookmail.com发给我的邮件中也发现了Responsys邮件服务的原始链接:

http://em.facebookmail.com/pub/cc?_ri_=X0Gzc2X%3DWQpglLjHJlYQGkSIGbc52zaRY0i6zgzdzc6jpzcASTGzdzeRfAzbzgJyH0zfzbLVXtpKX%3DSRTRYRSY&_ei_=EolaGGF4SNMvxFF7KucKuWNhjeSKbKRsHLVV55xSq7EoplYQTaISpeSzfMJxPAX8oMMhFTpOYUvvmgn-WhyT6yBDeImov65NsCKxmYwyOL0.

参数 “_ri_=”的作用是对链接生成一个有效请求。在经过一些测试后我发现,Facebook系统在此不能正确处理二次URL编码,可以在”_ri_=”之前的链接中添加使用任意正确的查询参数值,比如,我可以在此加入关于密码查询的“%252fetc%252fpasswd”命令,并能成功执行:

http://em.facebookmail.com/pub/sf/%252fetc%252fpasswd?_ri_=X0Gzc2X%3DYQpglLjHJlYQGrzdLoyD13pHoGgHNjCWGRBIk4d6Uw74cgmmfaDIiK4za7bf4aUdgSVXMtX%3DYQpglLjHJlYQGnnlO8Rp71zfzabzewzgLczg7Ulwbazahw8uszbNYzeazdMjhDzcmJizdNFCXgn&_ei_=Ep0e16vSBKEscHnsTNRZT2jxEz5WyG1Wpm_OvAU-aJZRZ_wzYDw97ETX_iSmseE

通常来说,这种通过目录遍历字符的注入而获取到目标服务器相关信息的做法,都是由于对代码和系统架构的审查和过滤不当造成的。

举一反三

很快,我也意识到该漏洞应该不只对Facebook造成影响,可能还对那些使用Responsys提供私有云服务的公司形成安全威胁。谷歌search了一下,可以发现一大把的公司网站都存在该漏洞:

利用该漏洞,通过构造有效的_ri_请求参数,可以直接获取到目标公司企业的一些内部服务器信息,如Linkedin:

这种本地文件包含(LFI)漏洞造成的影响,小到信息泄露,大到服务器被攻击控制,都有可能发生。而从这个Responsys架构的LFI漏洞来看,相对于比较严重,因为它将对大量使用Responsys服务的公司造成数据安全隐患。

最终,我选择及时向Oracle公司上报了这个漏洞,一周之后,该漏洞就得到了Oracle方面有效的修复解决。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-05-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python小白进阶之旅

什么时候Python也成了黑客必备的语言?大牛的告诉我竟是这样

3033
来自专栏服务产品介绍

腾讯云服务器的优势

先为大家带来一点福利。腾讯云最近开始发放代金券了,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得,建议大家都领取一份,反正是免费领...

6130
来自专栏嵌入式程序猿

今天你用了吗?

随着嵌入式开发的复杂化,靠手工去画状态图分析显然已经不合时宜,IAR的 visualSTATE 是一组基于状态机的高级嵌入式设计工具套件,专门用...

3477
来自专栏技术博文

大型网站架构体系的演变

文章出处来源 摘自 微信--IT搬运工 地址:http://mp.weixin.qq.com/s?__biz=MzAxNTI4NDAzNA==&mid=205...

3327
来自专栏沃趣科技

All In One|沃趣QFusion v2.0.0 MySQL私有云平台重磅发布

沃趣科技QFusion v2.0.0 MySQL私有云平台重磅发布,产品不仅具备之前QFusion v1.0.0版本的企业级特性,在此基础之上重构整个IaaS和...

3159
来自专栏张善友的专栏

国内2大Git代码托管网站

可以说GitHub的出现完全颠覆了以往大家对代码托管网站的认识。GitHub不但是一个代码托管网站,更是一个程序员的SNS社区。GitHub真正迷人的是它的创新...

2728
来自专栏美团技术团队

大众点评支付渠道网关系统的实践之路

业务的快速增长,要求系统在快速迭代的同时,保持很好的扩展性和可用性。其中,交易系统除了满足上述要求之外,还必须保持数据的强一致性。对系统开发人员而言,这既是机遇...

38810
来自专栏zhangdd.com

揭秘:2018阿里双11秒杀背后的技术

在今天双 11 这个万众狂欢的节日,对于阿里员工来说,每个环节都将面临前所未有的考验,特别是技术环节,今天我们就一起来探讨下双11天量交易额背后的技术。

1303
来自专栏我是攻城师

支撑起整个互联网时代的 7 款开源软件

4567
来自专栏FreeBuf

蓝光光盘攻击:利用蓝光光盘植入恶意木马

近日,英国安全研究人员Stephen Tomkinson发现两个基于蓝光光盘的攻击方法,通过将恶意文件存植入到蓝光光盘中,在光驱转动时读取光盘中的恶意代码发起感...

1976

扫码关注云+社区