Apache Solr RCE(CVE-2019-0193)

前言 : 

筆者正在收集各種服務型 RCE 漏洞，慢慢集中成自己的武器庫 xD 會知道這個漏洞是因為當初在和朋友一起玩 Bug Bounty (HackerOne) 時，朋友無意間發現美國國防部(DoD) RCE 的漏洞，還上了報導  =.=  不過這也讓我知道光是知道 Getshell 手法或內網滲透技術是還不夠的，廣度要在廣才可以，並且也要了解最新漏洞的狀況。

內文 :

自從上次自己搭 AD 的過程領悟到的心得，後來決定直接使用 Docker 來復現漏洞，這是最快且最有效率的方式，直接在 kali 上面安裝 Docker，另外環境是使用 Vulhub 漏洞環境(包含了各式各樣的漏洞)，真 d 好玩，筆者應該會固定時間抽空去復現漏洞來增加廣度。

實作環境 : 
attack : 192.168.235.158 , Windows 10
victim : 192.168.235.148 , kali

影響範圍 : 
Apache solr < 8.2.0

安裝 docker 步驟(網路上都有教程) : 
(1)安裝 https 協議、CA證書、dirmngr
apt-get update
apt-get install -y apt-transport-https ca-certificates
apt-get install dirmngr

(2)添加GPG 密鑰並添加更新源
curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add -
echo 'deb https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/ buster stable' | sudo tee /etc/apt/sources.list.d/docker.list

(3)系統更新以及安装docker
apt-get update
apt install docker-ce

(4)啟動docker服務器
service docker start

(5)安装compose : 
apt install docker-compose

之後進入到 vulhub 目錄中的 /vulhub/solr/CVE-2019-0193 去啟動就可以惹
docker-compose up -d
docker-compose exec solr bash /bin/solr create_core -c noth -d example/example-DIH/solr/db 

目前找到一個可以執行 Command 的 RCE，很多 github 無法用，讓筆者有點迷，不過需要 Python2 去執行，在 Windows 下真的有時因為環境變數的關係搞了很久 QQ 在使用 PoC 的前提是必須要知道 Core Name，訪問 /solr/admin/cores 接口。 

接下來就 RCE 惹，毫無違和，剩下就是嘗試 Reverse_shell 並提權而已。

Reference : 
https://blog.csdn.net/qq_43645782/article/details/107170568
https://github.com/c1aysec/Apache-Solr-RCE
https://github.com/vulhub/vulhub.git
https://www.cnblogs.com/bmjoker/p/11778478.html