Apache Solr远程命令执行漏洞

原创 sauren  2019-10-31 15:51  阅读 149 views 次 评论 0 条

Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的xml文件,生成索引;也可以通过Http Get操作提出查找请求,并得到xml格式的返回结果。
该漏洞通过修改Core配置,修改params.resource.loader.enabled参数为Ture,并输入构造好的RCE请求执行命令,利用难度简单,可直接远程执行命令。

执行步骤一:

修改params.resource.loader.enabled参数为Ture

1.png

执行步骤二:

发送payload,得到返回结果。

2.png

 

漏洞检测工具下载(python):

此处为隐藏的内容!
发表评论并刷新,才能查看

 

本文地址:/archives/317.html
版权声明:本文为原创文章,版权归 sauren 所有,欢迎分享本文,转载请保留出处!
NEXT:已经是最新一篇了
高性能云服务器特惠

发表评论


表情