我今天要向您展示的是我如何在Oracle Responsys云服务系统中发现本地文件包含漏洞（LFI）。由于许多商业销售，网络存储和社交网络公司目前使用Oracle Responsys的云解决方案，该漏洞影响了许多知名公司的服务，包括Facebook，Linkedin，Dropbox等。
Responsys：该公司最初是一家领先的企业级B2C云营销软件提供商，主要提供在线广告营销软件，帮助公司通过电子邮件，网站，移动设备，社交网络和展示广告促进营销和沟通。 2013年12月21日，甲骨文宣布以15亿美元收购，后来成为Oracle Responsys。 Responsys进一步整合了许多客户关系云服务，如Oracle业务云，销售云，服务云，社交云和营销云。 Responsys提供企业级B2C业务服务模型。当公司使用Responsys云服务解决方案进行系统设置时，Responsys将为每个客户的企业分配一个不同的“私有IP”给其他公司以访问和使用自己的云服务。系统。 漏洞发现 这有点无意。我经常收到Facebook发给我的一些开发者电子邮件。其中一些电子邮件是从em.facebookmail.com的电子邮件地址发送的。这就像来自fbdev的一些电子邮件。 @ em.facebookmail.com的邮件引起了我的注意。漏洞挖掘思维让我觉得域名em.facebookmail.com可能有点有趣，所以在一些DIG之后，我发现域名与Facebook的“Responsys”云服务有关，而在之前的其他渗透测试中场景我对“Responsys”有很好的理解。

从上图可以看出，Responsys为Facebook提供了一个基于域名em.facebookmail.com的邮件服务。我在fbdev@em.facebookmail.com发送给我的电子邮件中也找到了Responsys邮件服务的原始链接： http://em.facebookmail.com/pub/cc?_ri_=X0Gzc2X%3DWQpglLjHJlYQGkSIGbc52zaRY0i6zgzdzc6jpzcASTGzdzeRfAzbzgJyH0zfzbLVXtpKX%3DSRTRYRSY&_ei_=EolaGGF4SNMvxFF7KucKuWNhjeSKbKRsHLVV55xSq7EoplYQTaISpeSzfMJxPAX8oMMhFTpOYUvvmgn-WhyT6yBDeImov65NsCKxmYwyOL0。 参数“_ri_=”的作用是生成对链接的有效请求。经过一些测试，我发现Facebook系统无法正确处理辅助URL编码。您可以在“_ri_=”之前的链接中添加任何正确的查询参数值。例如，我可以在此处添加密码查询。 “％252fetc％252fpasswd”命令，可以成功执行： http://em.facebookmail.com/pub/sf/%252fetc%252fpasswd?_ri_=X0Gzc2X%3DYQpglLjHJlYQGrzdLoyD13pHoGgHNjCWGRBIk4d6Uw74cgmmfaDIiK4za7bf4aUdgSVXMtX%3DYQpglLjHJlYQGnnlO8Rp71zfzabzewzgLczg7Ulwbazahw8uszbNYzeazdMjhDzcmJizdNFCXgn&_ei_=Ep0e16vSBKEscHnsTNRZT2jxEz5WyG1Wpm_OvAU-aJZRZ_wzYDw97ETX_iSmseE 通常，这种通过注入目录遍历字符来获取目标服务器相关信息的方法是由于对代码和系统体系结构的不当审查和过滤。 举一反三 很快，我意识到这个漏洞不仅会影响Facebook，还会对使用Responsys提供私有云服务的公司构成安全威胁。谷歌搜索了一下，发现大量公司网站都有这个漏洞：

使用此漏洞，通过构造有效的_ri_request参数，您可以直接获取目标公司的一些内部服务器信息，例如Linkedin：

此本地文件包含（LFI）漏洞的影响，范围从信息泄漏到大型服务器攻击。从Responsys体系结构的LFI漏洞来看，它相对比较严重，因为它会给使用Responsys服务的公司带来数据安全风险。 最后，我选择及时向Oracle报告此漏洞。一周后，Oracle解决了这个漏洞。

*参考资料来源：博客，freebuf小编译云编译 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。