0x01 漏洞描述

Solr 是Apache软件基金会开源的搜索引擎框架，其中定义的ConfigAPI允许设置任意的jmx.serviceUrl，它将创建一个新的JMXConnectorServerFactory工厂类实例对象，并通过对目标RMI / LDAP服务器的’bind’操作触发调用。远程恶意RMI服务器可以响应任意的对象，Solr端使用java中ObjectInputStream类将接收到的对象进行不安全的反序列化过程。使用ysoserial工具可以利用此类漏洞，根据目标Classpath环境，攻击者可以使用其中特定的“gadget chains”在Solr端触发远程代码执行。

风险等级：High

影响版本：5.0.0 to 5.5.5 6.0.0 to 6.6.5

0x02 漏洞分析

Solr初始化及启动过程：研究solr启动过程，首先需要从War包中加载的配置文件web.xml入手，其中所有的访问请求统一路由到SolrDispatchFilter类中处理，其主要的作用包括加载solr配置文件、初始化各个core、初始化各个requestHandler和component：

查看了该类的继承结构：

BaseSolrFilter，是一个实现Filter接口的抽象类，功能很简单，就是判断当前程序是否开启正常的日志记录功能：

作为具体类的SolrDispatchFilter必须实现Filter接口中定义的如下三个抽象方法：

其中doFilter方法拦截所有的http请求，下面跟进下SolrDispatchFilter类中的doFilter具体方法：

首先定位到用于处理请求数据的接口SolrRequestHandler，其中定义的抽象方法handleRequest中分别传入了用于处理请求的接口SolrQueryRequest和处理响应的接口SolrQueryResponse，在IDEA中查看接口的实现类，发现只有抽象类RequestHandlerBase实现了上述接口：

跟进抽象类RequestHandlerBase，其重写了抽象方法handleRequest，并在其中调用了handleRequestBody抽象方法：

为进一步了解handleRequestBody方法的实现过程，根据继承关系图发现，SolrConfigHandler具体类继承了抽象类RequestHandlerBase：

进一步跟进SolrConfigHandler具体类，发现其重写了上述的handleRequestBody抽象方法，并在方法体中首先判断HTTP请求参数是否为POST，若一致则调用command.handlePOST()方法：

根据公开POC表明漏洞利用过程是通过POST方式触发，则进一步跟进command.handlePOST()方法：

跟进其调用的handleCommands(opsCopy, overlay)方法，其中使用switch函数对传入的方法名做了选择判断，SET_PROPERTY常量字符串对应于set-property方法：

由于公开POC显示在构造恶意Json数据时使用了set-property属性：

所以继续跟进上图case分支中的applySetProp(op, overlay)方法：

跟进setProperty方法，方法体中将POST参数转换后，调用有参类型的ConfigOverlay构方法生成新的ConfigOverlay对象，方法调用结束后通过return函数将其返回到上文调用方法handleCommands的overlay变量中：

上文handleCommands方法在接收到正常的overlay返回值后，调用break子句结束了for循环遍历操作符过程，继续向下执行：

Solr资源加载器通过当前请求对象的getCore().getResourceLoader()方法创建了新的加载器对象loader。通过if条件判断loader是否为zookeeper分布式集群ZkSolrResourceLoader类的实例对象。受本地环境限制，此时会执行else代码块中的单机模式。继续跟进persistConfLocally(loader, ConfigOverlay.RESOURCE_NAME, overlay.toByteArray())方法，其中传入的实参RESOURCE_NAME是如下常量字符串：