vulhub中Apache Solr RemoteStreaming 文件读取与SSRF漏洞复现

余生有个小酒馆2024-04-07 23:10

Apache Solr 是一个开源的搜索服务器。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。

访问`http://your-ip:8983`即可查看Apache Solr后台

1.访问`http://your-ip:8983/solr/admin/cores?indexInfo=false\&wt=json\`获取数据库名:

2.发送如下数据包,修改数据库`demo`的配置,开启`RemoteStreaming`:

3.再通过`stream.url`读取任意文件:

相关推荐
それども11 小时前
Apache POI XSSFWorkbook 和 SXSSFWorkbook 的区别
apache·excel
xifangge202520 小时前
PHP 错误日志在哪里看?Apache / Nginx / PHP-FPM 一次讲清
nginx·php·apache
潇凝子潇1 天前
Apache Kafka 跨集群复制实现方案
分布式·kafka·apache
大厂技术总监下海2 天前
数据湖加速、实时数仓、统一查询层:Apache Doris 如何成为现代数据架构的“高性能中枢”?
大数据·数据库·算法·apache
鸠摩智首席音效师2 天前
如何在 Apache 中排除特定的代理 URL 请求 ?
apache
程序员agions2 天前
Unity 游戏开发邪修秘籍:从入门到被策划追杀的艺术
unity·cocoa·lucene
AC赳赳老秦2 天前
Unity游戏开发实战指南:核心逻辑与场景构建详解
开发语言·spring boot·爬虫·搜索引擎·全文检索·lucene·deepseek
SeaTunnel3 天前
Apache SeaTunnel 2025 案例精选重磅发布!
大数据·开源·apache·seatunnel·案例
麦兜*3 天前
Spring Boot 整合 Apache Doris:实现海量数据实时OLAP分析实战
大数据·spring boot·后端·spring·apache
云边有个稻草人3 天前
大数据时代下的时序数据库选型指南:为何Apache IoTDB成为最优解
大数据·apache·时序数据库·apache iotdb
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05Claude Code 2.1.2 升级报错?别折腾了,一行命令搞定06jdk21下载、安装(Windows、Linux、macOS)07【踩坑笔记】50系显卡适配的 PyTorch 安装08KGG转MP3工具|非KGM文件|解密音频092025-04-03 Latex学习1——本地配置Latex + VScode环境10Overleaf编译超时,超出免费计划编译时限(已解决)