CVE-2021-27905 Apache Solr SSRF漏洞

已于 2023-04-12 22:50:12 修改
阅读量1.3k 收藏 4
点赞数
分类专栏: 经典漏洞利用 文章标签: solr apache lucene
于 2023-04-12 22:47:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj1781572/article/details/130114958
版权

预备知识
1. 漏洞信息

漏洞编号:CVE-2021-27905  
漏洞名称:Apache Solr SSRF漏洞 

漏洞描述:Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。该漏洞是由于Solr默认安装未开启身份验证,攻击者可未授权通过Config API修改配置,导致SSRF和任意文件读取。

影响版本:Apache Solr <= 8.8.1

2. ApacheSolr相关实验

<CVE-2019-0192 Apache Solr远程反序列化代码执行漏洞>

实验目的
通过实验学习Apache Solr SSRF及任意文件读取漏洞的产生原因和利用方式。

实验环境
Attack:Kali Linux
Target:Windows 10、IP:10.1.1.200
实验步骤一
任务描述:漏洞环境:源码搭建及创建core。

1. target机器下载漏洞环境并解压,进入bin目录,执行solr start -p 8983


2. 浏览器访问http://ip:8983即可看到solr的主界面:


3. 刚下载的环境是没有core的,点击左侧的Core Admin来创建一个core:


4. 直接点击Add Core发现报错:

5. 但是此时Solr已经在/server/solr目录下创建了名为new_core的文件夹,需要把/server/solr/configsets/_default文件夹下的conf目录整个拷贝到new_core文件夹下:


6. 复制完成后再点击Add Core即可创建成功:


实验步骤二
任务描述:漏洞代码块分析。

1.  漏洞代码块 

https://github.com/apache/solr/blob/main/solr/core/src/java/org/apache/solr/servlet/SolrRequestParsers.java:

这里获取stream.url参数并调用了URLStream。
2.  跟进URLStream:

发现其getStream()方法与url建立了连接,导致SSRF漏洞。
3. 同样在SolrRequestParsers.java文件中:

和SSRF代码类似,这里调用的是ContentStreamBase.FileStream。

4. 跟进FileStream:


没有任何过滤,所以可以读取任意文件。

实验步骤三
任务描述:漏洞复现,获取core_name,发送请求开启远程读取文件流,任意文件读取。
1.  Attack机器通过浏览器访问http://ip:8983/solr/admin/cores?indexInfo=false&wt=json,可以获取目标机器core的名字:

2.  利用Config API打开默认关闭的requestDispatcher.requestParsers.enableRemoteStreaming开关。
访问http://ip:8983/solr/core_name/config,使用burp发送以下POST请求包:

{"set-property": {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}

注意修改MIME类型为application/json
可以测试是否存在漏洞,响应码为200,说明远程读取流文件配置开启成功。

3.  开启后寻找某个路径进行文件读取,在 https://github.com/apache/solr/blob/7ada4032180b516548fc0263f42da6a7a917f92b/solr/core/src/resources/ImplicitPlugins.json 中提供了很多请求路径。

4.  其中/debug/dump主要是输出一些请求头和响应头信息,可以针对该路径进行利用:

POST/solr/core_name/debug/dump

stream.url=file://想要读取的文件名称

例如读取hosts文件:C:\Windows\System32\drivers\etc\hosts

stream.url参数触发SSRF漏洞,Java中可以利用file协议实现任意文件读取。

实验步骤四
任务描述:漏洞检测POC测试。

1.  Attack机器下载漏洞检测POC并解压:

2.  执行漏洞检测POC并输入待检测的URL:

3.  输入想要读取的文件名称:

漏洞修复
将Solr端口仅对内网开放,并配置访问策略:
1、 关闭ConfigAPI,禁止通过API修改配置,在bin目录下的solr.in.cmd中加入:
set SOLR_OPTS=%SOLR_OPTS%-Ddisable.configEdit=true
2、 关闭远程读取文件流,修改core_name/conf/configoverlay.json中的远程读取文件流的配置修改为false:

jack-yyj
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Apache Solr RemoteStreaming 文件读取与SSRF漏洞CVE-2021-27905
黑白的博客
05-11 1373
声明 好好学习,天天向上 漏洞描述 Apache Solr 是一个开源的搜索服务器。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。 影响范围 Apache Solr <= 8.8.1(全版本) 复现过程 这里使用8.1.1版本 使用vulhub /app/vulhub/vulhub-master/shiro/CVE-2020-1957 使用docker启动 docker-compose build docker-compose u
Apache Solr SSRF 漏洞(CVE-2021-27905)复现
锋刃科技的博客
04-16 4274
漏洞概述 Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。 该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。 影响版本 Apache Solr <= 8.8.1 环境搭建 http://archive.apache.org/dist/lucene/sol...
其他的 框架安全:Apache Solr 远程代码漏洞.(CVE-2019-0193)
最新发布
网络安全领域___专研者.
05-12 724
Apache Solr是一个开源的搜索服务,便用Java语言开发,主要基于 HTTP 和ApacheLucene 实现的。Sor是一个高性能,采用Java5开发,基于Lucene的全文搜索服务器。
(CVE-2021-27905)Apache Solr ssrf 漏洞复现
鸣蜩十四的博客
08-09 1640
简介 Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器,使用Java语言开发,主要基于http和Apache Lucene实现的,该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 漏洞描述 Apache Solr 8.8.2之前版本存在安全漏洞Apache Solr 中的 ReplicationHandler(通常注册在 Solr core下的“/replication”)有一个“masterUrl”(也是“leaderUrl”别名)参数,用
Apache Solr SSRF(CVE-2021-27905)
weixin_44047654的博客
02-15 414
Apache Solr SSRF(CVE-2021-27905)
Apache Solr SSRF文件读取漏洞
good good study
04-02 5659
目录 一. 漏洞描述 二. 影响版本 三. 漏洞复现 1. 复现条件 2. windows下搭建漏洞环境 3. 漏洞测试 四. 漏洞检测POC 五. 漏洞修复 一. 漏洞描述 Apache Solr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是Apache Lucene项目的开源企业搜索平台。 该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读...
CVE-2021-27905 Apache Solr 服务端请求伪造漏洞复现
m0_56642842的博客
07-01 708
0x00 简介 Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器,使用Java语言开发,主要基于http和Apache Lucene实现的,该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。 0x01 漏洞概述 Apache Solr 8.8.2之前版本存在安全漏洞Apache Solr 中的 ReplicationHandler(通常注册在 Solr core下的“/replication”)有一个“masterUrl”(也是“leaderU
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
Apache Solr 任意文件读取.py
06-07
Apache Solr RemoteStreaming 任意文件读取和SSRF
CVE-2021-25735:利用CVE-2021-25735
05-14
CVE-2021-25735 利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像...
solr SSRF (CVE-2021-27905
千寻的博客
03-23 1670
Apache Solr 8.8.2之前版本存在安全漏洞Apache Solr 中的 `ReplicationHandler`(通常注册在 `Solr core下的“/replication”`)有一个`“masterUrl”(`也是“leaderUrl”别名)参数,用于指定另一个` Solr core`上的另一个 `ReplicationHandler `将索引数据复制到本地core。
Apache Solr 服务端请求伪造(CVE-2021-27905)
m0_65150886的博客
01-17 455
Apache Solr是美国阿帕奇(Apache)基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器,使用Java语言开发,主要基于http和Apache Lucene实现的,该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。Apache Solr 8.8.2之前版本存在安全漏洞,在ApacheSolr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。1.访问http://ip:port/solr,出现如下页面,开始实验。
Apache Solr 任意文件读取漏洞详细解析
髣髴兮若轻云之蔽月
04-28 2002
Apache Solr简介 Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。 PS:XML是一个文本文件,类似于HTML是一种标记语言。 API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的
【高危】Apache Solr 环境变量信息泄漏漏洞
murphysec的博客
01-15 851
Apache Solr 是一款开源的搜索引擎。在 Apache Solr 受影响版本中,由于 Solr Metrics API 默认输出所有未单独配置保护策略的环境变量。在默认无认证或具有 metrics-read 权限的情况下,攻击者可以通过向 /solr/admin/metrics 端点发送恶意请求,从而获取到运行 Solr 实例的主机上的所有系统环境变量,包括敏感信息的配置、密钥等。
Web安全 SSRF漏洞的 测试和利用.(读取服务器的任何文件)
网络安全领域___专研者.
03-04 4307
SSRF(Server-Side Request Forgery)服务端请求为伪造,SSRF是一种由攻击者构造形成由服务端发起请求的一个漏洞。(例如:攻击者操作服务端从指定URL地址获取网页文本内容,加载指定地址的图片等,利用的是服务端的请求伪造)SSRF利用存在缺陷的Web应用作为代理攻击远程和本地的服务器.
CVE-2021-45105/CVE-2021-44228
07-29
CVE-2021-45105和CVE-2021-44228是两个与Apache HTTP Server(Apache Web服务器)相关的漏洞编号。这些漏洞可能会影响Apache HTTP Server的安全性。CVE-2021-45105是一个路径遍历漏洞,攻击者可以利用它来读取服务器上受限制的文件。CVE-2021-44228是一个HTTP请求解析漏洞,攻击者可以通过发送恶意的请求导致服务器崩溃或远程代码执行。 为了保护系统安全,建议及时升级Apache HTTP Server到最新版本,并遵循相关安全建议和最佳实践。如果你是系统管理员或开发人员,可以查看Apache官方发布的安全公告,获取更详细的信息和修复方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jack-yyj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值