记 Apache Solr Velocity模板注入远程命令执行漏洞 实战

0x00

---

           Apache Solr爆出RCE 0day漏洞（漏洞编号未给出），通过https://www.freebuf.com/vuls/218730.html提供的这篇文章，我们可以了解到这是一个错误配置，通过发送JSON格式的数据导致后台修改相关配置，然后第二次发送数据包，上传相关参数，调用Velocity模板引擎生成代码执行，构成远程命令执行漏洞。

0x01

---

           话不多说直接搜索部署了Apache Solr的站点进行实战测试。可以通过zoomeye，fofa，google hack等方式搜索站点。本文使用zoomeye搜索站点。

0x02         Windows环境下的反弹shell

---

找到一个受害网站，可以看到是windows的系统，点击“Core Admin” 

发现存在名“ipims”的core，根据POC文章发包

发现漏洞利用成功，接下来反弹shell

通过powershell的方式反弹成功。

0x03        linux下反弹shell

---

                发包就不再截图了基本步骤和windows差不多，不同的在于反弹shell的方式。一开始通过查阅资料发现exec函数有6个构造参数，所以选择修改POC通过多生成一个一个$test的字符串变量然后通过$test.replace().split()进行符号转换并且变成字符串数组传入exec函数，反弹成功。通过检索资料还有一种可以通过base64编码的方式绕过（自行查阅）

0x04         小结

---

                的来说 只在ROOT和SYSTEM以及管理员权限下反弹成功过（也不知道为啥）。以上