vulhub中Apache Solr RemoteStreaming 文件读取与SSRF漏洞复现

余生有个小酒馆2024-04-07 23:10

Apache Solr 是一个开源的搜索服务器。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。

访问`http://your-ip:8983`即可查看Apache Solr后台

1.访问`http://your-ip:8983/solr/admin/cores?indexInfo=false\&wt=json\`获取数据库名:

2.发送如下数据包,修改数据库`demo`的配置,开启`RemoteStreaming`:

3.再通过`stream.url`读取任意文件:

相关推荐
凌北辰17 小时前
web平台—apache
linux·运维·服务器·前端·apache
沐沐森的故事1 天前
Unity之创建与导出PDF
unity·pdf·lucene·itextsharp
2401_857610031 天前
强强联合:Apache Kylin与Impala的集成之道
大数据·apache·kylin
Apache Flink1 天前
探索 Apache Paimon 在阿里智能引擎的应用场景
大数据·flink·apache·paimon
大数据之家1 天前
Apache Ranger 2.4.0 集成Hive 3.x(Kerbos)
hive·hadoop·apache
tingting01191 天前
k8s上部署单节点apache-lotdb
容器·kubernetes·apache
大数据卷神2 天前
(linux系统服务)FTP、NFS以及SAMBA服务
linux·运维·服务器·nginx·ubuntu·centos·apache
阳爱铭2 天前
Apache Iceberg:现代数据湖存储格式的未来
java·大数据·数据库·架构·apache·数据库开发·数据库架构
菜鸡且互啄692 天前
Apache POI、EasyPoi、EasyExcel
apache
Apache IoTDB2 天前
Apache IoTDB 监控详解 | 分布式系统监控基础
apache·iotdb
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02组基轨迹建模 GBTM的介绍与实现(Stata 或 R)03【经验分享】Ubuntu22.04安装微信(linux官方版)04yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)052025张宇考研数学,百度网盘视频课+36讲PDF讲义+真题06【立创EDA-PCB设计基础】6.布线铺铜实战及细节详解07基于coc.nvim打造开箱即用的个人PDE0851-2 万字长文,深度解读端到端自动驾驶的挑战和前沿09浏览器插件——ModHeader 的分享和学习10【漏洞复现】Geoserver远程代码执行漏洞(CVE-2024-36401)