apache solr rce cve-2019-0192 分析

前言

漏洞详情:https://issues.apache.org/jira/browse/SOLR-13301
漏洞POC:https://github.com/mpgn/CVE-2019-0192

影响版本:5.0.0 ~ 5.5.5、6.0.0 ~ 6.6.5
安全版本:7.0

简要描述

ConfigAPI allows to configure Solr's JMX server via an HTTP POST request.By pointing it to a malicious RMI server, an attacker could take advantage of Solr's unsafe deserialization to trigger remote code execution on the Solr side.

调用栈

Solr 中由配置文件触发 Jmx流程:
org.apache.solr.handler.SolrConfigHandler#handleRequestBody
->
org.apache.solr.handler.SolrConfigHandler.Command#handlePOST
->
org.apache.solr.handler.SolrConfigHandler.Command#applySetProp
->
org.apache.solr.core.CoreContainer#reload
->
org.apache.solr.core.SolrConfig#SolrConfig
->
org.apache.solr.core.SolrCore#reload
->
org.apache.solr.core.SolrCore#SolrCore
->
org.apache.solr.core.SolrCore#initInfoRegistry
->
org.apache.solr.core.JmxMonitoredMap#JmxMonitoredMap
->
javax.management.remote.JMXConnectorServerMBean#start

分析过程

其路由过程不再分析,在 https://xz.aliyun.com/t/1523 这篇文章中分析过

直接到 ReuqestHandler 中,访问路径 /config 可以进入 SolrConfigHandler#handleRequestBody 中,如下图:

apache solr rce cve-2019-0192 分析_第1张图片

由poc知道我们走的是 POST 的处理流程,跟进 handlePOST 函数

apache solr rce cve-2019-0192 分析_第2张图片

如上图看见关键词 Config Overlay ,跟进 else 代码块调用的 handleCommands 函数,如下

apache solr rce cve-2019-0192 分析_第3张图片

第一个框就是 poc 给出的 POST 数据中指定的 set-property 流程,但是我感觉第二个框也可以,不过具体情况没测试

跟入 applySetProp 函数,如下

private ConfigOverlay applySetProp(CommandOperation op, ConfigOverlay overlay) {
      Map m = op.getDataMap();
      if (op.hasError()) return overlay;
      for (Map.Entry e : m.entrySet()) {
        String name = e.getKey();
        Object val = e.getValue();
        Class typ = ConfigOverlay.checkEditable(name, false, null);
[……中间省略了解析 POST 数据的流程……]
        overlay = overlay.setProperty(name, val);
      }
      return overlay;
    }

  }

如上,注意力转向 setProperty 的调用,跟进

apache solr rce cve-2019-0192 分析_第4张图片

这里就是将 POST 参数做处理后,全部用于生成一个新的 ConfigOverlay 对象并将其返回到 handleCommands 函数中的 overlay 变量去接受赋值

标注 handleCommands 中的 overlay 变量,看到如下调用

apache solr rce cve-2019-0192 分析_第5张图片

If 代码块是处于 zookeeper 分布式状态下的,也能触发成功,不过为了便于分析,我们跟进 else 代码块:单机孤儿模式

可以看见调用了 persistConfLocally 猜测应该是将刚刚生成的 ConfigOverlay 对象的数据做持久存储,其中 ConfigOverlay.RESOURCE_NAME 的值为:

public static final String RESOURCE_NAME = "configoverlay.json";

数据应该是存入了 configoverlay.json 中
第二步就调用了 reload 函数,重启服务器

其实这里我是反向跟踪的,因为 reload 流程中会有大量的 initial 操作,根本分不清啥时候会加载我们指定的配置,从 ConfigOverlay.RESOURCE_NAME 入手

这里有个获取流数据操作,八九不离十就是这里,但是为了调用流程直观,我们还是从 reload 流程中讲述

apache solr rce cve-2019-0192 分析_第6张图片

注意到了这一句,重新加载的话,所有配置文件也会重新加载一次,既然之前写入了 configoverlay.json 文件中,那也算作是配置文件,跟进 getConfig 函数

apache solr rce cve-2019-0192 分析_第7张图片

很显眼 createSolrConfig 函数流程肯定是重加载配置,一直跟踪到 SolrConfig#SolrConfig 中,如下:

看见 overlay 了,跟进到 getConfigOverlay 函数如下

apache solr rce cve-2019-0192 分析_第8张图片

这里就刚好和前面搜索到的流数据操作吻合,那么继续在 SolrConfig 的构造函数中查看,找到如下

apache solr rce cve-2019-0192 分析_第9张图片

上图中看见了 poc 中指定的三个参数,并且用他们创建了 JmxConfiguration 对象赋值给 jmxConfig
这里还没完,JmxConfiguration 仅仅是存储信息的,并没有执行任何操作,跟踪 jmxConfig 参数如下

apache solr rce cve-2019-0192 分析_第10张图片

跟入红框所示位置

JmxMonitoredMap 的构造函数中就进行了 JMX 监控操作,可以触发 rmi 序列化

但是这里属于 initInfoRegistry 函数中,还不清楚这个函数在哪儿调用,反向查找在 SolrCore 的构造函数中被调用到

SolrCore 的构造函数由 CoreContainer#reload 调用的 SolrCore#reload 触发

至此服务端触发jmx流程已经完整

链接

漏洞详情:https://issues.apache.org/jira/browse/SOLR-13301
漏洞POC:https://github.com/mpgn/CVE-2019-0192
https://issues.apache.org/jira/secure/attachment/12961503/12961503_SOLR-13301.patch
https://lucene.apache.org/solr/guide/6_6/config-api.html#ConfigAPI-CommandsforCommonProperties

你可能感兴趣的:(apache solr rce cve-2019-0192 分析)