2019年10月31日,国外的安全研究员S00pY在GitHub发布了Apache Solr Velocity模版注入远程命令执行的poc,经过测试该poc真实有效,漏洞等级严重,影响面广。目前Apache Solr官方未发布该漏洞的补丁,至少影响8.2.0及以下所有版本。
Apache solr:Solr 是一个基于 Apache Lucene 之上的搜索服务器,它是一个开源的、基于 Java 的信息检索库。它旨在驱动功能强大的文档检索应用程序 - 无论您需要根据用户的查询将数据服务到何处,Solr 都可以为您服务。
VelocityResponseWriter(Velocity响应编写器):是 contrib/velocity 目录中可用的可选插件。当使用诸如 “_default”、“techproducts” 和 “example / files” 等配置时,它为浏览用户界面提供动力,目前solr默认会加载该插件。
SolrConfig.xml:solrConfig.xml是solr中的主要配置文件,通过该文件的配置可以配置请求处理程序、web界面以及插件加载。
Config API:config api是以一种类似REST的API调用来远程设置solrConfig.xml,通过get或者Post方式访问/config路径,可以检索或编辑solrConfig.xml。
笔者是在windows下通过solr 8.2.0 + IDEA搭建的调试环境,具体步骤如下:
在IDE中点击Run/Debug Configurations,然后新建一个Remote:
然后进入D:\solr-8.2.0\solr\bin目录,执行solr start -p 8988 -f -a "-Xdebug -Xrunjdwp:transport=dt_socket,server=y,suspend=y,address=8988",同时在eclipse中点击Debug即可开始远程调试:
首先通过Config API修改velocity模板的默认参数:
header需要设置Content-Type为application/json格式
配置修改成功后,我们可以发现在D:\solr-8.2.0\solr\server\solr\files\conf目录下增加了一个configoverlay.json的文件,这里会存储我们的配置修改。然后我们发送payload:
即可执行命令
查看solr velocity响应编写器文档,我们可以发现当params.resource.loader.enabled=true时,“params”资源加载程序允许在solr的请求参数中指定要加载的模板,例如:
http://localhost:8988/solr/files/select?q=1&&wt=velocity&v.template=custom&v.template.custom=core_name
v.template=custom表示要呈现一个名为“自定义”的模板,其值v.template.custom是自定义模板。自定义模板语法可以参考http://codingdict.com/article/23731,#开头的是Velocity的关键字,包括变量定义$set、if语句#if、循环语句#foreach,#foreach语句需要用#end结束。因此只需要将java语法转换成Velocity语法即可执行相应的操作,payload可以拆分为:
#set($x='')
#set($rt=$x.class.forName('java.lang.Runtime'))
#set($chr=$x.class.forName('java.lang.Character'))
#set($str=$x.class.forName('java.lang.String'))
#set($ex=$rt.getRuntime().exec('id'))
$ex.waitFor()
#set($out=$ex.getInputStream())
#foreach($i+in+[1..$out.available()])
$str.valueOf($chr.toChars($out.read()))
#end
在veclocity中,会把$x.class当作一个属性来处理,此时会去寻找$x.getClass(),而java中每个对象恰好都有getClass()方法,因此$rt=$x.class.forName('java.lang.Runtime')将等价于$x.getClass().forName(‘java.lang.Runtime’)。
将断点打到Runtime.exec函数中,可以获取到函数调用栈:
在SimpleNode.Class的Render函数中,会根据不同标签生成不同节点,#set会生成ASTSetDirective,变量表达式会生成ASTExpression,变量引用则会生成ASTReference,方法调用则会生成ASTMethod,然后根据生成的节点类型,调用不同类型的不同方法。最终会在ASTmethod的execute方法中调用UberspectImpl的invoke方法,而在方法内会调用doInvoke方法,最终调用method.invoke方法:
可以看到此时就会执行Runtime.exec(“calc.exe”),从而导致命令执行
由于Velocity插件默认安装,因此可以影响绝大多数apache solr应用,但漏洞的成功利用需要apache solr后台对外开发且能未授权访问,因此保持后台不对外开放可降低被利用风险。
https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt
https://www.w3cschool.cn/solr_doc/solr_doc-umxd2h9z.html
https://leveryd.github.io/2019/03/03/Solr%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%EF%BC%88%E4%B8%80%EF%BC%89-md/
http://codingdict.com/article/23731 https://www.securityinfo.cn/2019/10/31/%E3%80%90%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0%E3%80%91Apache%20Solr%20Velocity%E6%A8%A1%E7%89%88%E6%B3%A8%E5%85%A5%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6/#more