Apache Solr任意文件读取和SSRF漏洞的自动化挖掘

上图中，蓝色的线条代表污点的流向，图中共搜索到两条污点调用链，一条指向java.io.File.<init>方法，另一条指向java.net.URL.openConnection方法；分别对应任意文件读取漏洞和SSRF漏洞；

两个漏洞的污点调用链存在重合不分，下面先分析重合的污点链

1. 寻找污点来源

根据污点调用链找到污点的起始位置：发现在org.apache.solr.servlet.SolrRequestParsers$StandardRequestParser.parseParamsAndFillStreams方法中，调用getQueryString方法获取HTTP参数，拿到初始污点

2. 跟踪污点变化

根据污点调用链跟踪污点的变化：在org.apache.solr.servlet.SolrRequestParsers$StandardRequestParser.parseParamsAndFillStreams方法中，调用parseQueryString方法对污点进行解析，转换为MultiMapSolrParams对象

根据污点调用链跟踪污点的变化：在buildRequestFrom方法中，调用MultiMapSolrParams.getParams方法，获取污点

到此为止，公共污点链结束，接下来是两个漏洞独立的调用链，我们分别分析：

3. SSRF漏洞

继续根据污点调用链跟踪污点的变化：接下来的污点链就清晰了很多，分别是用污点创建URL对象和调用URL对象的openConnection方法触发漏洞，详细的调用链如下：

污点创建URL

URL对象调用openConnection方法触发漏洞

4. 任意文件读取漏洞

任意文件读取的链路与SSRF的链路类似，使用污点创建File对象，然后读取文件内容

更多漏洞，等你来发现

洞态IAST 现提供SaaS版本和开源版本，可自动化挖掘部分0 Day漏洞，可前往查看版本介绍并联系技术支持获取试用。

（ https://huoxianclub.github.io/LingZhi/#/doc/deploy/versions）

“洞态IAST”地址：

http://aws.iast.huoxian.cn:8000/

“洞态IAST”使用文档：

https://huoxianclub.github.io/LingZhi/#/doc/tutorial/quickstart

vulhub-cli教程：

https://huoxianclub.github.io/LingZhi/#/doc/deploy/vulns?id=vulhub%e9%9d%b6%e5%9c%ba%e5%bf%ab%e9%80%9f%e5%ae%89%e8%a3%85%e7%81%b5%e8%8a%9diast

【火线Zone】

    火线Zone是[火线安全平台]运营的封闭式社区，社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入，符合要求的白帽子可联系[火小表妹]免费加入～

    我们不希望出现劣币驱逐良币的结果，我们不希望一个技术社区变成一个水区！

    欢迎具备分享精神的白帽子加入火线Zone，共建一个有技术氛围的优质社区！

招 聘

火线招安全研究工程师(代码审计方向)、移动安全工程师，帮助社区白帽子实战自动化/半自动化漏洞挖掘！

邮箱: [email protected]