Apache Spark 未授权访问漏洞

Apache Spark是一款集群计算系统，其支持用户向管理节点提交应用，并分发给集群执行。如果管理节点未启动ACL（访问控制），我们将可以在集群中执行任意代码。

参考链接：

• https://weibo.com/ttarticle/p/show?id=2309404187794313453016
• https://xz.aliyun.com/t/2490

通过 Velocity 自定义模板执行 Apache Solr 远程代码 (CVE-2019-17558)

Solr 是流行的、速度极快的开源企业搜索平台，它建立在 Apache Lucene(TM) 之上。

Apache Solr 5.0.0 到 Apache Solr 8.3.1 容易受到通过 VelocityResponseWriter 的远程代码执行的攻击。可以通过 configsetvelocity/目录中的Velocity 模板或作为参数提供 Velocity 模板。用户定义的配置集可能包含可渲染的、潜在的恶意模板。默认情况下禁用参数提供的模板，但可以params.resource.loader.enabled通过定义一个设置为 的响应编写器来启用true。定义响应编写器需要配置 API 访问权限。Solr 8.4 完全移除了 params 资源加载器，并且仅在 configset 为trusted（已由经过身份验证的用户上传）时启用 configset 提供的模板渲染。

参考：

• https://nvd.nist.gov/vuln/detail/CVE-2019-17558
• https://issues.apache.org/jira/browse/SOLR-13971
• https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc133
• https://github.com/jas502n/solr_rce

Apache Solr RemoteStreaming 任意文件读取和 SSRF

Apache Solr 是一个开源搜索服务器。当 Apache Solr 不启用身份验证时，攻击者可以直接制造请求以启用特定配置，最终导致 SSRF 或任意文件读取。

参考：

• https://mp.weixin.qq.com/s/3WuWUGO61gM0dBpwqTfenQ

漏洞复现

环境启动后，浏览器http://192.168.44.132:8983查看Apache Solr。

首先，访问http://192.168.44.132:8983/solr/admin/cores?indexInfo=false&wt=json提取数据库名称：


发送如下请求，修改数据库配置demo启用RemoteStreaming：

1
2
3

curl -i -s -k -X $'POST' \
     -H $'Content-Type: application/json' --data-binary $'{\"set-property\":{\"requestDispatcher.requestParsers.enableRemoteStreaming\":true}}' \
     $'http://192.168.44.132:8983/solr/demo/config'


然后通过stream.url以下方式读取任意文件：


Apache Solr 远程命令执行漏洞（CVE-2019-0193）

漏洞原理与分析可以参考：

• https://mp.weixin.qq.com/s/typLOXZCev_9WH_Ux0s6oA
• https://paper.seebug.org/1009/

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。此次漏洞出现在Apache Solr的DataImportHandler，该模块是一个可选但常用的模块，用于从数据库和其他源中提取数据。它具有一个功能，其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本，因此攻击者可以通过构造危险的请求，从而造成远程命令执行。

本环境测试RCE漏洞。

Apache Solr 远程命令执行漏洞（CVE-2017-12629）

漏洞原理与分析可以参考：

• https://www.exploit-db.com/exploits/43009/
• https://paper.seebug.org/425/

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE），二者可以连接成利用链，编号均为CVE-2017-12629。

本环境测试RCE漏洞。

Apache solr XML 实体注入漏洞（CVE-2017-12629）

漏洞原理与分析可以参考：

• https://www.exploit-db.com/exploits/43009/
• https://paper.seebug.org/425/

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE），二者可以连接成利用链，编号均为CVE-2017-12629。

本环境仅测试XXE漏洞，RCE和利用链，可以在 https://github.com/vulhub/vulhub/tree/master/solr/CVE-2017-12629-RCE 中查看。

Apache Shiro 身份验证绕过漏洞 (CVE-2020-1957)

Apache Shiro 是一个功能强大且易于使用的 Java 安全框架，它执行身份验证、授权、加密和会话管理。

在具有 Spring 动态控制器的 1.5.2 之前的 Apache Shiro 版本中，攻击者可以构造恶意请求..;以绕过目录身份验证。

参考链接：

• https://github.com/apache/shiro/commit/3708d7907016bf2fa12691dff6ff0def1249b8ce#diff-98f7bc5c0391389e56531f8b3754081aL139
• https://xz.aliyun.com/t/8281
• https://blog.spoock.com/2020/05/09/cve-2020-1957/

Apache Shiro 1.2.4反序列化漏洞（CVE-2016-4437）

Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。

rsync 未授权访问漏洞

rsync是Linux下一款数据备份工具，支持通过rsync协议、ssh协议进行远程文件传输。其中rsync协议默认监听873端口，如果目标开启了rsync服务，并且没有配置ACL或访问密码，我们将可以读写目标服务器文件。

Redis 4.x/5.x 未授权访问漏洞

Redis未授权访问在4.x/5.0.5以前版本下，我们可以使用master/slave模式加载远程模块，通过动态链接库的方式执行任意命令。